第一章:威胁中的“刷”
威胁软件是指通过固定自己的窗口或启动后重置锁定密码等方式强行锁定用户桌面,使用户难以正常使用设备,并通过付费解锁来威胁用户的软件。 近年来,Android平台恐吓软件因其危害性高、伪装性强、卸载困难等特点,一直是360烽火实验室关注的焦点。 针对威胁软件善于伪装成特定流行软件进行传播的现象,360烽火实验室持续对Android平台及相关行业的威胁软件伪装类别进行跟踪分析。 在2018年3月上旬发布的《勒索软件“面具”系列——自由流软件》中,我们已经介绍过一类“伪装”的威胁软件——自由流软件,并回顾了自由流行业的现状,原理和危害都详细讲解了。 最近,我们把目光投向了一种比自由流软件变得越来越普遍的伪装——代理软件(以下简称代理软件)。
1、勒索软件伪装类别分布
从威胁软件伪装类别分布可以看出,威胁软件伪装类别主要是色情和黑客工具。 在黑客工具中,代理类别排名第二,仅次于插件和辅助类别。
威胁软件伪装类别分布
2.主流迷彩品类——刷机软件
伪装成代理软件的恐吓软件名称通常为“XX代理”、“XX代理”或“XX业务”。 实际操作后,会在顶部固定一个特定的窗口,阻止用户进入桌面,或者申请设备管理器屏保密码。 用户授权后进行权限并执行屏保。
伪装成代理软件的威胁软件
截至2018年3月,360烽火实验室已捕获超过20万个代理软件,其中恶意威胁软件占比57.4%。 此类软件以代理软件或代理欺诈为幌子,诱导用户下载、安装或安装软件。 激活设备管理器,立即用屏保恐吓用户,对用户的设备和财产安全造成严重威胁。
大量伪装成代理软件的恐吓软件的传播,充分体现了代理软件巨大的市场空间。 事实上,随着这五年来中国联通社交软件、视频直播软件的普及,越来越多的用户开始关注自己的账号等级、权限、粉丝数量,并用少量的钱来换取而此时高账户权限、高粉丝数成为部分用户的强烈诉求,代理刷软件“应运而生”并迅速蔓延。 经过对代理软件的不断跟踪和分析,发现该代理软件以其价格低廉、功能齐全、兼容性强、操作简单、效果明显等优点,吸引了大量的商店和用户,并吸引了众多商家和用户的关注。大量的店铺和用户从最初的店铺建立到用户最终的订单已经产生了清晰的产业链。
第二章 刷机软件
一、定义与分类
刷单软件是指采用特定手段增加特定账号的粉丝数、访问量或闲置时间等量化指标,或获取特定权限的软件。 常见的刷机软件可分为批量刷、会员刷、经纪三种:
1、刷量:即刷特定账户的量化指标。 量化指标可细分为访问量、点赞量、评论量、转发量、粉丝量、分享量、播放量等;
2、刷会员:这是获得特定账户的权限,将普通用户提升为特权用户。 QQ最常见;
3、坐席挂机:坐席挂机,通过获取用户的登录账本来代替用户登录挂机。
2. 来源
经过分析大量的Android代理软件,我们发现大部分都是由Web代理网站转换而来。 目前市场上有很多Web网站打包工具和平台,例如AIDE、IAPP、E4A等开发工具,以及Chameleon、九尾云打包等软件打包平台。 借助此类工具或平台,可以轻松地将特定的Web网站转换为相应的代理软件,转换后的代理软件具有非常相似的文件列表和代码结构。 代理软件开发者只需提供代理套接字和不同的软件名称即可快速生成多个代理软件。
我们对抓获的代理软件开发工具进行了统计和分类。 从统计结果可以看出,通过开发工具开发的代理软件数量远小于Web打包平台打包生成的代理软件数量。 开发工具中,AIDE、IAPP、E4A开发的代理软件比例高达80%,其中AIDE最为常用。
代理软件来源分析
简单的开发工具和软件打包平台的普及,大大提高了代理刷软件的开发门槛和成本。 在低门槛、低成本的诱惑下,很多代刷店都使用代刷软件来宣传自己的代刷网站。 还开展联通侧和Web侧“双线”运营,大幅提升盈利效率。
三、实现原理
一、刷机软件原理
网刷网站的内容和源码都很简单,基本只包括下单功能和订单处理逻辑。 代理刷软件的本质和Web代理刷网站是一样的。 它只是一个点餐平台,为用户提供点餐功能,并不包含实际的刷单逻辑。 用户通过代刷软件提交订单后,代刷软件会将订单请求传递给代刷网站。 代刷网站随后会在后台进行统一处理,将刷量请求传递给真正实现代刷功能的供应商。 后台。
完整的刷机过程
2.实际刷新逻辑
供应商的代刷后台是真正实现代刷逻辑、完成代刷业务的地方。 对于不同类型的刷代理服务,刷代理后台会应用不同的刷代理原则:
(一)刷卡量业务。
刷单业务一般都是通过僵尸账户来实现的。 代理刷逻辑开发者通过一定手段获取大量僵尸账号,同时获取官网的点赞、粉丝、转发等接口,然后在服务器上搭建代理刷系统,对僵尸进行控制帐号手动访问指定接口。 可以进行手动刷牙操作。 不仅仅是借助僵尸账户,目前还有另一种刷量的方法。 官方有刷量需求的用户通过共同的平台聚集在一起。 这种账户可以通过手动互刷来达到刷真人量的目的。 真人刷机的代表软件是“快手网红联盟”。 这是一款只支持特定应用刷机的软件。 本软件的所有用户均为真实用户。 那些真实的用户互相浏览、点赞或评论等,通过动作来减少彼此的浏览量、点赞或评论等量化指标。
一手网红联盟
(2)刷会员。
欺诈性会员服务通常是通过不当使用运营商计费机制来实现的。 与自由流量软件的实现原理相同,会员购买业务也依赖于运营商代理系统与计费监控系统的分离。 采用特定手段促使两个独立系统处理订单结果不同步,从而达到低成本会员购买的目的。 目的。 以QQ会员为例。 这些“特定手段”通常是在天猫等市场上以优惠价格订购便宜的SIM卡,然后利用手机话费进行钻取,然后在一定的时间差内发送取消指令或关机来干扰手机。扣除结果。 这些对运营商扣费结果的干扰,会导致运营商的代理系统显示QQ绑定的手机号已经开通了QQ会员等服务,但运营商的计费监控系统上却没有下单后扣费成功的记录。 这样就可以达到免费购买QQ会员的效果。 但需要注意的是,这些刷卡方式都存在一个问题——会员身份无法常年维持,激活期限最多为一个月。 与刷量相比,刷会员业务的用户承担的风险更大。 除了刷会员时限难以保证外,还面临着被封禁的风险。
(3) 代他人上吊。
代理挂的原理比前两项业务更简单,即通过用户的登录账本登录用户账号,代用户完成软件挂。 与前两种业务相比,代理店必须首先获取用户的登录账号和密码,因此用户必然面临账号和密码泄露的巨大风险。
4. 例子
安卓刷机软件只是一个点餐平台,逻辑很简单。 以E4A工具开发的代理软件为例。 其核心代码如右图所示。 代刷软件会根据用户在订单交互界面上选择的业务类型、产品类型、数量等构造请求参数串,并将该请求参数串通过特定的请求接口发送给代刷网站。
刷机软件核心代码
代刷网站也是一个订购平台,交互界面与代刷软件非常相似。 代刷网站收到代刷软件发送的业务请求后,会将业务请求连同请求参数发送至代刷后台,代刷后台根据请求参数完成代刷业务。
代理刷机软件及对应的代理刷机网站
第三章制刷行业分析
1、角色划分
与堕胎行业一样,代理行业也产生了一条自上而下分化的产业链,从最底层的供应商到中间的各个主站、分站,再到最终的消费用户。 各司其职,又有功能联系和交叉,共同维系着整个代刷行业。
1. 供应商。 供应商作为刷单最上游的代理,负责为上层主站提供刷单逻辑和业务支持。 供应商收到主站发送的代刷请求后,在自己的代刷后台应用代刷逻辑,完成代刷业务,并将业务结果反馈给主站;
2.主站。 主站是代刷行业的核心。 上游连接供应商或卡联盟,下游连接各个分站,提供数据存储、搭建分站、订单查询、支付等多种功能;
3、普通分站。 不仅不能建设下级变电站,普通变电站的功能也与主站几乎相同。 一般子站有权更改网站公告、网站名称、网站标志、产品价格等。用户在子站成功下单后,子站管理员可以获得相应的佣金;
4.中间分站。 中间分站是普通分站的升级版。 与普通分站不同的是,中级分站支持下级分站的开通。 用户向中级分站或其下级分站成功下单后,中级分站管理员即可接收。 委员会;
5. 用户。 用户作为代刷的最下游,无论是通过代刷软件还是Web代刷网站进行消费,最终都是通过订购代刷服务,为整个代刷行业的运营提供了资金来源。
2. 促销及盈利
代刷行业是一个非常依赖推广和扩散来盈利的行业。 一方面,在店铺横行的代刷市场,促销的程度会影响店铺的知名度,而知名度又会直接影响用户数量; 另一方面,主网站中级分站将分享下级分站的利润。 主站和中间分站分布的下级分站越多,其利润就越高。 代刷行业也是一种“一刀切”的行业。 只要维护好特定的网站,就可以不断地推广和盈利。
1、推广模式
代刷行业的推广呈现出从主站自上而下蔓延的结构。 这是由“上层拿回扣”的代刷行业盈利模式决定的。 首先,主站运营者为了盈利,会通过QQ群、论坛、贴吧等方式在网上发布自己的刷机网站或软件进行推广。 用户可以在此类网站上免费或以折扣价建立中级积分。 站,成为一名中级分站管理员。 为了获得更多的利益,中级分站管理员也会利用网络来宣传自己的分站,从而吸引用户订购刷单服务或者在自己的分站下面建立低级分站。 分站、低级分站直接与刷单业务的消费者对接,通过网络再次发布和推广自己的分站,吸引更多用户消费。 在这些模式下,网站下属的分站和用户越多,网站的利润就越高。
制刷行业推广模式
2、盈利情况
代刷业务以其低廉的价格吸引了大量用户。 事实上,代刷走的是“薄利多销”的路线。 另外,代刷网站或软件的开发和维护成本极低。 热门代理刷站长网站的利润往往非常可观。 通过常年对众多热门主站和子站的跟踪,我们整理总结了一些代理刷网站的盈利情况。 从图中可以看出,主站日均利润从几十元到几千元不等,差别巨大。 日均利润最高的是一个主机名为“qqdzz.com”的主站。 开业不到一年,累计交易额已达百万以上。
一些刷机网站的盈利
分行内部价格表
代刷分站销售价格可定制。 但由于代刷店较多,店与店之间出现了价格崩盘。 代刷业务的价格波动不大,而且很低,因此仍然吸引了大量用户购买订购。 这种两方“各取所需、互利共赢”的模式,使得代刷行业从形成至今经久不衰。 也正是因为如此,威胁软件的作者将矛头指向了刷代理的“沃土”,以加速威胁软件的传播,扩大威胁软件感染的范围。
3、用户群体分析
通过对TOP代刷QQ群的会员分布分析发现,关注代刷行业的人群普遍年轻化,其中一半是00后、80后。 事实上,主站和中间分站都会收到普通分站的佣金,普通分站的收入最终会大大减少。 但搭建刷分站赚钱渠道、销售代刷服务的成本却比很多传统赚钱渠道要低。 ,耗时少,风险小,所以这些业余赚钱渠道受到了很多小学生和大学生的青睐。
QQ群成员分布
据悉,我们通过代理刷网站订购了某知名直播平台的助粉业务,粉丝数量大幅增加后,我们观察了那些“买”的粉丝以及他们关注的人。 这种“买”粉丝在关注订阅者的同时,也关注了很多其他用户,包括一些在直播平台上排名靠前的主播。 由此可见,热门直播平台上的一些大主播也有“买粉丝”之嫌。 随着网络社交、直播平台的火热,很多用户可能出于攀比心理,急于追求高粉丝数、高评论数等量化指标,或者是为了扩大自己的知名度和影响力。 代刷业务“雪中送炭”成了他们的最佳选择。
4. 类似的平台架构
通过对几个流行的代理刷网站的分析发现,虽然这些代理刷网站的网址不同淘宝小号刷钻软件,但网站上的内容和功能都略有不同。 对此类刷代理网站的抓包结果显示,其组织结构、网络请求、返回值数组大体相似。 例如,注册分站的URL都包含一个公共路径(/user/reg.php),并且获取QQ聊天的请求URL大致相同。
已注册子站点的 URL 列表
获取要对话的请求 URL 列表
通过对从网上随机获取的建站源码中包含的注册分站和获取QQ聊天的代码进行进一步分析,发现该源码的结构和代码功能与代理网站。 由此,我们基本可以判断,市面上大部分代理网站都使用同一套建站源码。 通过这套源码,网站建设者只需拥有自己的主机和域名即可轻松搭建网站,能力要求和成本极低。 代刷行业因其成本低、门槛低,吸引了很多兼职人员加入。
网站源码结构
网站建设源码
5. 加速连接
现在,中国联通互联网的发展势头正在逐步追赶传统互联网。 面对联通互联网的“肥肉”,代理刷行业的脚步并没有停止。 刷代理的主战场已经逐渐从Web平台转移到联通的代理刷软件上。 从2015年开始,Android代理软件开始批量出现并逐渐增多,近几年呈下降趋势。 仅2017年,新增代理软件数量就超过15万个,是2016年总数的3.1倍,2015年总数的35.6倍。
Android刷机软件数量正在下降
近年来,随着各类Web-to-mobile软件厂商的增多,生成一款移动软件的成本几乎为零。 代理刷机软件的流行,给代理刷机行业带来了又一个夏天。 但与此同时,刷代理市场鱼龙混杂,一些不法分子利用刷代理为幌子,传播盗号、勒索等恶意软件,给用户带来了很大困扰。 经济损失。
第四章 刷机软件的危害
1、刷代暗示“杀机”
目前,代理软件中包含大量危险的假冒代理软件。 它们打着代理软件的幌子,在用户安装后实施恐吓、盗号等恶意行为,给用户隐私和财产安全带来严重风险。
1、锁手机恐吓
我们捕获的代理软件中有一半以上是恶意屏幕保护程序和恐吓软件。 当用户下载安装代理软件时,很可能会被恐吓软件上钩。 由于代理软件本身并不是合规软件,此类受害用户很可能在受到屏幕保护程序的恐吓后选择妥协。 自动付费解锁,进一步助长了恐吓软件开发者的气焰,以及利用用户运气实施犯罪的现象。
假冒威胁软件刷机软件
2、账号密码被盗、通讯录被盗
盗取账号密码多发生在IAPP、AIDE等工具开发的恶意软件中。 此类软件最显着的特点是,软件启动后,出现账号和密码输入界面,并诱导用户代为输入账号和密码。 一旦用户点击确认登录按钮,输入的登录信息将以电子邮件或互联网的形式发送到指定的手机或服务器。 该类软件属于诈骗盗号木马,实际上不具备刷代理功能。 用户不仅不能达到刷代理的目的,还会导致账户密码被盗。
盗号接口
不仅窃取用户的登录账号,恶意刷机软件还“热衷”窃取用户的邮件、联系人、通话记录等隐私信息。 此类代理软件一旦安装,就会手动获取用户的邮箱、联系人、通话记录等信息,并通过多种形式(电子邮件、邮件、网络)上传到远程服务器,大多数情况下,该软件会首次启动时不可使用。 之后桌面图标会被手动隐藏,让用户难以感知并正常卸载,从而达到常年潜伏、持续作恶的目的。
发送邮件的代码
3. 变相盗窃
一些代理软件由于技术落后、端口阻塞等原因无法实现正常的代理功能,而其运营商仍然大量推广和转让这种代理业务。 用户充值后无法实现充值。 钱也很难收回来。 这种变相盗窃行为难以防范,给用户的财产安全带来了严重威胁。
2. 统一修复
2018年1月,上海市网信办对网络刷热搜榜、热点话题榜等行为进行统一整治。 经约谈相关负责人后,《微博信息服务管理规定》于2月2日发布,开始对微博信息服务进行更严格的监督管理。
国家网信办发布《微博信息服务管理规定》
刷单产生的虚假信息扰乱社会秩序,损害公共利益,扭曲社会道德走向,有的甚至造成直接经济损失。 代理刷单软件作为实现刷单的一种工具,亟待整治,还公众一个真实、公平的网络空间。
总结
代刷本身就是一个脱离体制边缘的行业,代刷用户尝试是靠运气还是虚荣。 恶意软件开发者利用用户的这些心理,趁机传播冒充刷机软件的恶意软件。 随意下载、安装、使用刷机软件可能会给用户带来不可预测的风险。 对此,用户应注意:
1、尽量避免使用不合规的软件;
2、尽量从正规应用市场下载应用程序,不要轻易安装各种聊天群或峰会的软件;
3、谨慎授予软件设备管理员等高风险权限;
4、安装安全防护软件,便于及时识别恶意应用程序淘宝小号刷钻软件,确保设备和财产安全;
5、一旦手机中毒,请及时联系联通安全厂商,将损失降到最低。