手游黑客产业链揭秘

文/ 上帝是个球 2014-03-21 10:49:13

在中国手游市场,除了获取用户继而变现这条路径,一条非常隐秘的地下产业链也在暗自发展。有的中国公司,钻营应用商店的结算漏洞;有的手游企业,被盗版、现金流被盗用都不知情。有报告称,网银与网络游戏账号已经成为地下黑市青睐的主要对象,同时,攻击的目标也投向了用户量庞大的手机网游。


近日在一场UCloud联合主办的游戏开发者沙龙上,赛博龙工程师张世会与UCloud技术大拿探讨了“黑客地下产业链中的手机游戏”这一话题。


Android平台,由于其开放性,黑客采用多种方式,一般是通过所谓破解版App来将恶意代码加入程序,盗取用户设备中的信息,再进一步盗取用户财产。

iOS方面,由于苹果系统相对封闭,App Store里的欺骗行为更多体现在汇率漏洞与黑卡上。


接下来葡萄君结合张世会与UCloud工程师以及其他安全界朋友的说法,介绍两种系统中黑客是如何操作,希望开发者们有所警戒。


Android:通过破解版程序


这张图可以简单说明。

05eccdff5030a457.jpg

首先,黑客与非法SP会下载apk安装包,将其反编译,加入恶意代码文件,再将游戏重新打包生成新的运行程序。一般来说,加入恶意代码的新运行程序会比原程序更占据磁盘空间。

然后,黑客会将加入恶意代码的App换一个更有吸引力的名字,比如说将monkey jump改为monkey jump free,引诱用户下载。一般情况下由恶意代码编写的程序会优先于原程序运行,同时获取用户的各种本地权限。


葡萄君以二次打包植入广告为例,黑客们首先寻找热门游戏、知名软件,通过反编译,在软件中插入恶意代码,然后由“打包党”负责大批量二次打包app,再在第三方应用市场,各大论坛分发,由用户下载。“打包党”们利用消费者追捧热门应用的心里、加上普通人难以区分正版盗版,以及应用市场安全监管能力的不足,令恶意广告和病毒木马顺利进入用户手机中。

这一切都是在用户完全不知情的情况下发生。一旦恶意代码程序运行并获取了权限,黑客就可以对用户的手机进行远程操控。


远程操控的方式分为用户可见及不可见两种,像是远程操控拨自动拨打电话,更改壁纸等都是用户显而易见的,容易引起用户怀疑,黑客一般会采用一些更隐蔽的操控,比如说自动下载收费程序。

在这种攻击方式的驱动下,移动App领域已经形成了许多灰色产业链,比如说SP增值服务扣费,二次打包植入广告,移动僵尸网络,篡改数据等。

6a8a2e4d98467dfa.jpg

SP扣费,此类病毒每次进行小额支付(一次支付2-6元),还可以通过远程服务器指令来配置扣费与否和扣费区域(如北上广不收费、2,3线城市收费)。


二次打包植入广告,在用户的手机中会以通知栏提醒、悬浮窗提醒、广告展示等多种形式诱导用户点击,同时还窃取用户的隐私信息并上传,或者在后台静默下载各种软件。通过用户点击广告、后台下载软件产生非法推广利益以后,黑客、打包党与非法广告渠道商进行收入分成。

这种方式的特点是盈利模式见效非常快,有数据显示,一个10人左右的打包团队每个月的纯利润可以达到150万元。


数据篡改,是黑客将软件内置的广告SDK被替换成应用商店自己的广告SDK,强行推送广告赚取广告费。或者加入恶意代码在后台偷偷下载APP,安装后自动删除,按照激活次数收取推广费。再或者替换应用支付系统,将收款方指向自己,或在登录系统中加入脚本窃取用户账户密码。


移动僵尸网络,是黑客控制了用户手机以后:黑客发出指令利用手机为指定地址刷流量;向手机联系人发送黑客编辑的短信进行诈骗;利用Android系统漏洞感染网络中的其它手机;自动发送垃圾广告、短信……


这些盗取方式,中招的CP甚至都很难维权。比如某成都80后开发者,游戏上线一周后被二次打包放进广告,由于未能提供某国内Android应用商店要求的软件著作权证书,无法要求盗版游戏下架。


那么,如何防范?


对于用户来说,下载App尽量选择信誉好的渠道,不要随意扫描二维码、点击来历不明的短信链接,安装App时注意其要求的权限。


对开发者来说,应该从漏洞源出发,找到填补漏洞的方法,加以解决。


1) 反编译漏洞

反编译漏洞是指,黑客找到找到App的设计流程,进行盗版、篡改、恶意代码注入;对部分积分机制的APP进行破解,绕过程序的验证机制;通过暴露的URL对服务器进行恶意攻击。它的主要危害就是使App源码暴露,给黑客二次打包的机会。

解决方法:代码混淆,代码加密。


2)内存漏洞

内存漏洞一般有以下几种表现:非静态内部类的静态实例容易造成内存泄漏,activity使用静态成员,使用handler时的内存问题等,内存漏洞一般会使恶意程序可以修改存储在手机上的数据。

解决方法:对一些应用数值做打散处理。


3)反调试漏洞

反调试漏洞主要危害是当用户使用支付软件的时候,偷走用户的支付口令;当用户在使用发短信功能时,偷走短信记录。

解决方法:底层加密保护、使用第三方安全加固。


4)一些第三方安全加固

第三方加固主要是说通过第三方平台对App进行加密。


iOS:汇率漏洞与黑卡


在iOS平台,葡萄君听闻一个案例,某手游产品每月账面销售额700万元,其中50万元黑卡耗损,100万元被汇率倒卖者攫取,剩下到帐550万元。


黑卡漏洞主要是利用盗刷和黑卡低价代购App甚至Gift Card,这种方式早已存在。


汇率漏洞,则是由于App Store自有的汇率折算系统,该汇率系统相对于国际汇率体系而言是固定不变的。

64531ac9be8c6b2a.jpg

最近一年因为诸多原因,部分国家(如南非)的货币对美元汇率波动巨大从而导致以下现象:一款中国区售价100元人民币的游戏(或内购物品),如果用这些汇率波动国家的货币进行支付,借助App Store汇率和实际汇率的差价折算后,实际仅需70元人民币。

如此一来,就有人可以利用这一漏洞,以低折扣销售热门游戏的内购物品,最终导致游戏运营商和开发者蒙受损失。


Alex Matveev
2022-06-06 16:27:13
不合规
审核中
@苏某某: 她在音乐方面的喜好,以及对天文的兴趣,也源于这部动画的影响。一直很喜欢爵士乐的她突然开始想
乐方面的喜好,以及对天文的兴趣,也源于这部动画的影响。一直很喜欢爵士乐的她突然开始想,没有系统了解过此类音乐的她怎么会喜欢上 呢?后来听完《美少女战士》原声带后才发现,“原来我在那么小的时候
评论全部加载完了~