黑灰产的廉价“温床”—— APP生成框架(4)

我们分析了2016至2018三年间框架刷量APP的变化情况：2016年框架刷量APP中约90%都与QQ业务有关，其中以QQ刷钻、QQ刷赞为主;2017年单一QQ业务框架刷量APP占比下降至60%，同时短视频/直播框架刷量APP开始批量出现，其中主要以刷播放量和粉丝量为主，此外，框架刷量APP逐渐向平台化、综合化转型，支持多种刷量业务的综合型框架刷量APP开始大量出现，在全年框架刷量APP中占25%;到2018年，单一QQ业务框架刷量APP进一步综合化转型，综合型框架刷量APP占比已高达70%，短视频/直播框架刷量APP数量有所上升。

图19给出了2016-2018年框架刷量APP的主要类别分布，从近三年的总体趋势来看，针对单一业务的框架刷量APP正逐渐向支持多业务的综合型框架刷量平台转变。

图19 2016-2018年框架刷量APP主要类别分布

综合型框架刷量平台整合了所有主流类别刷量功能，包括QQ业务、短视频/直播、游戏刷量等。图20是一款名为“飞达科技代刷网”的综合型框架刷量APP，其按刷量目标分成了不同专区，各种刷量业务“应有尽有”。

图20 一款综合型框架刷量APP

在刷量APP综合化转型的背景下，APP生成框架为刷量APP开发者提供了更便捷的业务扩展方式——“一键”批量化。在我们收集到的综合型框架刷量APP中，绝大多数都呈现出框架批量生成的特点，这些工具可能有不同名称、包名或图标，但却拥有相互关联的服务器地址或开发者。表1是一批由E4A批量生成的综合型刷量APP，总量共计5万+。刷量APP开发者“机智”利用APP生成框架的便捷、零成本特性，以 “一变多”来达到批量推广、扩大市场占有、灵活转移业务的目的。

表1 E4A批量生成的同款刷量APP

除刷量APP外，框架黑客工具中的另一主要类别是外挂APP，与框架刷量APP一样，框架外挂APP近三年的类别分布也发生了一些变化，如图21，游戏外挂与QQ业务外挂始终是框架外挂APP中的两大主要类别，且占比逐年缓慢递增;流量外挂是近三年数量波动最大的一种框架外挂，从2016年至2018年，流量外挂占比从30%降至4%，已逐渐退出主流外挂行列;此外，短视频/直播外挂与短信、电话轰炸机占比有所增加。

图21 2016-2018年框架外挂APP主要类别分布

在框架黑客工具中，无论是框架刷量还是框架外挂，都存在严重“名不副实”的现象，大量APP打着刷量或外挂旗号诱导用户下载安装后实施锁屏勒索、隐私窃取、私自扣费等恶意行为。恶意APP开发者擅于利用低成本APP生成框架并结合热点黑客工具来扩大恶意APP的传播与感染，以此牟取更大利益。

表2截取自我们近期捕获到的一批框架黑客工具APP，这批APP由IAPP框架批量生成，软件名围绕刷量与博彩外挂展开，然而实际运行后这些APP不具备相应功能，且会弹出QQ登录页面诱导用户输入QQ账号与密码，并通过短信上传至指定手机号，造成用户隐私信息泄露。

表2 仿冒黑客工具的钓鱼APP

总结

APP生成框架带来了一种便捷的APP开发方式，各类打包平台、工具等也确实帮助很多开发者以低时间、资金与人力成本实现了APP开发，但黑灰产利用APP生成框架大肆批量化其工具的现象却越来越严重，给用户及其设备安全带来了严重隐患。

APP生成框架生态良性发展依赖于APP框架平台、应用市场与安全厂商等多方面的支持。

对于APP框架平台，明确APP安全规范、加强平台生成APP安全审核、从源头阻止风险APP进入市场势在必行，对于业务模式转型引入的增殖服务，如软件著作权代办、应用包上架等，更应严格执行APP安全性评估，杜绝风险APP取得相关权证或上架，而不应在不明确安全规范的情况下高价就能包办。

对于应用市场和安全厂商，应结合框架APP的特点采用专门针对框架APP的应用审核策略，以部分框架APP缺少静态行为特征为出发点，加强动静结合的APP检测机制。360烽火实验室基于动静结合、变化规律以及特征关联构建了针对框架APP的检测系统，最大可能保障用户及其设备安全。

360烽火实验室

360烽火实验室，致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室，360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时，也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务，全方位守护移动安全。

本文经安全客授权发布，转载请联系安全客平台。

（编辑：ASP站长网）