魅族、华为、三星、努比亚等或陷流量黑产 小源科技内置SDK成隐患

  日前,一种以“静默拉活”方式存活于高科技当中的黑色产业链浮出水面。所谓静默拉活,是指黑灰产产业链摇身变成了高大上的手机内置SDK提供商,堂而皇之地与手机厂商合作,他们通过特殊的权限,在用户无感知的情况下,后台频繁开启或激活某应用软件,进行模拟唤醒,提升该应用软件的活跃度。较之前一阶段,其隐蔽性更强,令人防不胜防。对于手机用户而言,除非视手机为摆设,卸载App,否则只能任其摆布。春节前,流量黑产重新活跃于手机产业链,而涉嫌的手机厂商不乏魅族手机这样的知名厂商。

藏匿在幕后的作恶黑手段的技术实现

  安卓系统的应用分为系统应用和第三方应用。如短信、桌面、相机等为系统应用,微信、天猫、抖音等为第三方应用。当应用需要调起各种功能的时候,都需要经过权限管理模块,权限管理会根据应用是否是系统应用,用户是否授权等条件,确定是否给应用授予相应系统服务的权限。

  以魅族手机为例,让我们来看一张解析“后门业务”在手机中的技术手段实现原理图:

非法业务的技术实现原理图

  据了解,魅族内鬼给其SDK合作公司小源科技开启了系统应用权限,这样当小源科技的SDK集成到短信应用后,其SDK自然就拥有了短信系统应用的权限。同时,小源科技SDK通过预置的动态代码加载框架,便可以从云端下载恶意代码,并加载到短信应用中,这些恶意代码便可以利用短信的已有各种系统权限进行非常获利,比如后台静默拉活,弹窗广告,应用程序的静默安装(没有提示,直接在后台进行应用的下载、安装),窃取用户隐私数据等。而这些行为的实现,都是因为小源科技在魅族手机上使用了dex动态加载机制(技术原理)。

  对此,技术人员将这种机制在魅族手机上做了相应的反编译分析。发现在魅族手机上,小源科技的SDK使用的dex动态加载机制,可以实时将dex从后台进行下载更新,并动态加载到ROM(手机系统)中。

  具体实现原理如下:SDK中支持dexClassLoader(手机安卓系统中独有的类加载器),可以动态加载.dex(一种文件格式),这样就可以在后台从服务器上下载并更新含有恶意代码(比如暗拉活功能)的后缀为.dex的文件。.dex文件下载以后,该SDK对文件进行加载,这样就可以将恶意代码加载到ROM中。以此,恶意代码便会加载到短信应用中,短信应用是系统应用,具有较高权限,恶意代码就利用短信的系统权限,非法拉活应用,谋取非法利益。

  而在我们所熟悉的Google Play和苹果App Store中,对于以上提到的动态化方案都有非常严格的限制。

  小源科技的SDK使用dex动态加载机制的具体操作如下:

  1、 对后台定期检查服务器端是否有新的dex文件,如果有的话会进行下载

  2、 下载完成后

  (1) 对下载包进行检查,解压

  (2)解压生成临时文件,并删除原始dex

  (3)删除原始dexClassLoader,生成新的dexClassLoader

  (4)通知其他模块

  综上所述,小源科技可以将魅族手机中原dex文件替换成新的dex文件,并将恶意代码动态下载到客户端上并进行相应执行,这样就完成了把用户的手机变“肉鸡”的操作。

多品牌手机用户覆盖量巨大,上亿用户可能受到影响

  目前,佰策科技的官网已然被关停,但保不齐还会有”仟策“、”万策“之类的黑产再度出现,而该产业链中的重要一环——小源科技仍然活跃,据其官网显示,小源科技的合作厂商多达40+,覆盖终端用户10亿+。与其合作的手机厂商,除魅族外,还包括华为、三星、努比亚、小米、vivo等,所涉范围之广,不禁令人发问:我的手机品牌赫然在列,那么我的手机是不是也会被肉鸡了?

小源科技官网上展现的手机合作厂商(部分)

  小源科技曾多次在对外报道中提到,其合作手机厂商40多家,终端覆盖10亿+。那么试想,如果对外报道为真,那么这10亿+的终端是不是都可能会被“静默拉活”,变成“肉鸡”?多少用户的手机可能会被侵犯?广告主又有多少数额庞大的广告费会被打水漂?细思极恐。我们再看,除了魅族手机外,以小源科技对外宣称的合作伙伴华为、小米、vivo、三星为例,在最近的市场调研机构Counterpoint Research公布的2019手机国内手机市场份额排名中可以看到,华为市场份额为24%、小米为10%、vivo为18%,三星手机在全球出货量第一,全球整体市场份额约占23%,那么是否可以想象,面临着手机变“肉鸡”风险的智能手机用户体量有多庞大?

  日前已有报道分别为三星和华为手机分析了小源科技的SDK使用dex动态加载机制的具体操作,其后门漏洞已显而易见,本文在此不再赘述。

  或许用与不用只在厂商的一念之间,又或许华为、三星、努比亚等手机厂商能够不负重望,重新审视合作者,真正把非份之想拒之门外。但是,我们还是要发出呼吁:万望各手机厂商能够根据文中所展示的技术方案自查,不给任何后门漏洞以可乘之机。毕竟所谓的SDK厂商,广告代理商都可以隐于幕后,但品牌需要永远直面用户,是知名度美誉度的综合体现,一旦被毁,无论拥有多高的科技水平,也必如江河日下,万劫不复,务请手机厂商们善自珍重。