首页 » 技术教程 » 安天移动安全就清理类软件利用动态加载技术外弹广告展开技术分析

安天移动安全就清理类软件利用动态加载技术外弹广告展开技术分析

afeng135 2024-09-10 技术教程 20 0

扫一扫用手机浏览

文章目录 [+]

数字经济时代,巨大的移动终端用户规模促使移动流量增长迅猛,为移动广告提供了前所未有的广阔市场空间。与此同时,移动互联网广告行业催生了大量依附于广告和流量变现的黑灰色产业链,行业乱象频发,出现利用虚假流量、恶意推送广告进行流量变现等诸多安全隐患,已经严重影响到用户的正常使用。安天移动安全在长期持续关注当前移动应用中恶意广告行为的过程中发现,“玄冥手机大师”(版本1.84.0)利用自行研发的动态加载技术加载插件,主要目的就是执行外弹广告,据应用市场相关介绍显示,该APP的供应商为海口成发科技有限公司;另据企查查显示,海口成发科技有限公司是由广州久邦世纪科技有限公司百分百控股。

这种在应用运行时,利用云端下载、动态加载技术加载插件实现特定功能的行为,和过去恶意代码和流氓广告所采用的技术实现如出一辙,由于其加载的插件完全由云端控制,因此存在极大的安全性风险。

本期分享的恶意广告行为是“玄冥手机大师”(版本1.84.0)利用动态加载技术执行外弹广告,主要问题总结如下:本期分享的恶意广告行为是“玄冥手机大师”(版本1.84.0)利用动态加载技术执行外弹广告,主要问题总结如下:

1在未告知用户且未经用户授权的情况下,利用动态加载技术执行外弹广告,外弹广告策略受制于云控,所有代码过程中无任何提示,用户无感知、不知情;

2 强迫用户使用推送的互联网广告服务,剥夺了用户对广告说“不”的权利,且影响用户正常使用其他服务;

相关技术分析

1热更新插件类型

热更新动态加载管理器所使用的插件分为两种类型:热更新下载插件和应用内置插件。执行加载插件逻辑时,遍历缓存插件目录,若未发现任何热更新下载插件存在则加载应用内置插件。

02热更新插件更新流程

应用启动时进行插件动态加载管理器初始化,并进行插件更新管理器初始化

插件更新管理器存在规避开关与更新开2个开关,同时开启则进行更新操作,规避开关:

规避状态默认开启,开启时插件不进行任何更新操作

更新开关:

发包请求更新插件开关代码:

请求发送地址:

当前存在base64解密后:http://version.api.goforandroid.com 与https://abtest.cpcphone.com/abtestcenter/cfg两个地址依据应用配置文件进行切换

开关同时开启则开始获取更新插件信息:

同步下载更新的插件文件:

插件文件下载地址:

当前运行状态下保存jar文件的目录:

03热更新插件加载流程

初始化插件加载器进行插件加载

启动加载所有插件的函数代码:

嵌套加载插件流程中会遍历缓存插件目录,若未发现任何热更新下载插件存在则加载应用内置插件文件:

应用内置插件加载函数

内置jar插件加密存放于应用Assets目录中

加载插件类的代码可以发现4大组件一应俱全

04热更新插件部分分析:

(1)插件包初始化后执行的业务

监听解锁消息弹出广告

弹出广告落地页代码

定时类弹出广告

充电锁屏固定8小时触发定时任务

屏幕解锁固定8小时触发定时任务

Home键固定8小时触发定时任务

监听设备通话状态

通话结束弹出广告

监听充电连接与断开消息弹出广告

监听Wifi相关系统消息弹出广告

监听Home键弹出广告

启动广告落地页代码

(2)外弹广告业务流程分析

插件包初始化后会使用alarm服务设置一个循环延时任务,延时参数由云控下发(3.3详细分析云控配置文件部分分析),当前下发数据为40,会以40分钟每次的频率执行循环延时任务

循环延时任务触发后,设置延时6秒弹出测试页面防止弹出广告失败

页面弹出测试成功后启动真正的广告落地页面

最终在落地页View上加载广告

(3)插件获取云控配置数据

插件初始化时进行配置文件初始化

获取是否存在配置缓存文件

若缓存文件不存在则向服务器发送配置文件请求

请求返回的数据包

data各个重要字段意义:

字段名

作用

logic_start_time

参数为首次安装应用后延迟弹出广告时间

request_return_show

加载广告超时时间

ad_module_id

广告标识id

add_animation

弹出广告样式标识 为1插屏显示样式 为0全屏视频样式

返回的数据包字段中以logic_start_time为例显示其意义,云控下发赋值处:

代码的意义为计算出应用安装的时长是否超过云控设置时长:

以abActive配置数据请求为例,请求返回json数据进行保存

保存文件为应用私有SharedPreferences目录下AIO_AB_SP.xml 文件AB_ACTIVE_JSON_CACHE字段

当前,无论是监管部门、手机厂商还是安全厂商都在持续关注移动恶意广告乱象问题。安天移动安全在检测分析中发现,弹窗广告的一大特点就是网民不能自主选择,只能被动接受,这等于强制向用户进行广告曝光,因此现在被普遍应用,甚至可以说是泛滥成灾。希望有关开发者正视问题,将选择权还给用户。作为网络健康生态助推者,安天移动安全愿和各方一道共同促进移动互联网环境持续向好,为开发者提供更加专业的产品安全辅导和配套服务,不断提升开发者安全运营水平,联合建立行业规范,助力网络安全新格局建设。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

本文转载自互联网,如有侵权,联系删除

本文链接地址:https://nilaka.com/post/5285.html

相关文章

发表评论

友情链接