黑灰产的廉价“温床” —— APP生成框架 第一章 总体态势 APP生成框架是指无需复杂技术编程即可实现 APP开发的一种框架。使用 APP生成框架开发 APP能极大简化开发步骤、缩短开发周期并在一定程度上 节约开发成本，因此越来越多有开发需求的人成为 APP生成框架的用户，其中 不乏众多黑灰产从业者。 360烽火实验室在对 Android黑灰产的持续监测中发现，越来越多黑灰产开发 者倾向于使用 APP生成框架来开发黑灰产 APP。自 2016年起，我们在勒索软 件黑产研究中就发现了大量使用 Android易语言（ E4A）一键生成的勒索 APP，而事实上， E4A只是市场上众多 APP生成框架中的一 种，近几年我们 陆续收集了数万种 APP生成框架，同时更是捕获到了上百万利用这些 APP生 成框架开发的黑灰产 APP。 图1显示了 2014 -2018年全年黑灰产 APP总量中框架开发黑灰产 APP的占比 情况，自 2016年开始，框架开发黑灰产 APP数量与占比开始激增，到 2018 年，全年黑灰产 APP总量中 22%均由框架开发。从框架开发黑灰产 APP占比 变化来看，黑灰产 APP整体呈现框架化趋势， APP生成框架在帮助众多用户 实现开发梦的同时也给黑灰产提供了一种成本低廉的 APP生产途径。 图1 2014 -2018年框架黑灰产 APP在全年 APP总量中的占比 第二章 APP生成框架介绍 一、 APP生成框架分类 APP生成框架不限于某一特定形式，可以是 APP、SDK、打包、开源工具、支 持库等，通过这些形式，开发者可以零编程或少编程快速生成 APP且生成的 APP代码结构高度一致、重复率极高，我们将这些不同的形式统称为框架。 不同形式的框架在使用方式与实现原理上有所不同，目前我们收集到的框架主 要可以归为五大类： 图2 五类 APP生成框架的典型特征 1. 一键打包 一键打包的实质就是将对应的网址、接口或脚本套入给定的 APP模板生成 Web应用，根据使用上的差异可细分为直接打包与 DIY打包，对比于直接打 包，DIY打包能自定义界面与组件样式，在 APP展示设计上更加灵活。打包平 台通常会根据 APP种类提供丰富的模板供用户选择，如电商模板、社区交友模 板等。一键打包是典型的零编程 APP生成框架，但通常要求开发者已具备相应 网站、店铺或网页脚本，且在 APP样式上相对固定。 2. 开源工具 &库 开源工具或库（以下简称 “工具库 ”）分别以工具 APP形式安装至手机或作为 SDK嵌入 APP中，封装 Android原生 API，以更易于使用的方式为开发者提 供各种 APP开发功能接口。与一键打包相比，工具库框架在功能性与形式多样 性上都更加强大，且成熟工具库通常易于找到很多源码库提供功能支持，但使 用工具库框架需要开发者具备一定代码编写与阅读能力，整体使用难度略高于 一键打包。 3. 插件化框架 插件化框架是通过反射、 Hook与动态加载机制，利用壳 APP以插件形式加载 真实 APP并运行的框架形式。插件化框架开发同样需要开发者具备一定编码能 力，利用插件化框架开发 APP需要实现两部分：壳 APP与真实 APP，壳 APP 与真实 APP没有固定对应关系，即壳 APP可以加载任意真实 APP，真实 APP 也可以由任意壳 APP包装，这一特性被广泛用于 APP批量开发。 4. 外包框架 不同于其他 “工具化 ”框架，外包框架是将开发需求提交给外包平台，由平台实 现APP开发的框架形式。与传统外包不同，外包框架开发的 APP代码结构高 度一致、功能重复率极高、呈现典型框架化特点。我们收集的外包框架全部来 自国外，且其中绝大多数仅承接特定种类 APP开发。 5. APP生成器 除了以上 4类框架，我们还发现了一种特殊框架 ——APP生成器。 APP生成器 一般来自各类贴吧、论坛或 QQ群，是一键打 包框架的一种特例，与常规一键 打包不同的是 APP生成器本身就是一个 APP，在安装到手机后一般只能用于 一键生成特定种类的 APP，通常是特定灰黑产 APP。 图3给出了由以上五类框架开发的 APP的数量分布情况，工具库在框架化开发 中最为常用，其次为插件化框架与一键打包，三者总占比高达 92%；由于开发 周期长与费用高，极少有开发者会选择外包框架。 图3 由五类框架开发的 APP数量分布 二、 APP生成框架使用概况 APP生成框架由来已久，早在 Android系统发布后不到两年，各种 Android框 架化开发工具便相继出现并快速传播，截至 2019年初，框架生成样本总量已 高达 800万。 360烽火实验室最早捕获的框架 APP出现于 2011年，2011年框架 APP总量 仅1000+，在全年 APP总量中占比仅 0.5%。自 2011年之后，框架 APP数量 逐年递增，特别是从 2016年开始，每年全年 APP总量中框架 APP占比急速 增大，根据最新数据统计结果， 2018年框架 APP占比已高达 7.3%，如图 4。 图4 2011 -2018年框架 APP数量及在全年 APP总量中的占比 截至 2019年3月，我们共收集了 2万+种APP生成框架，包括 40种一键打包 框架、 11种工具库框架、 7种插件化框架、 12种外包框架以及 2万余种 APP 生成器，由这些框架开发的 APP数量存在巨大差异。我们统计了目前使用频率 最高的十种 APP生成框架及其生成的 APP总量，如图 5，目前工具库框架 E4A是被使用最多的 APP生成框架，其次是插件化框架 DKModel 与 DroidPlugin ，三者数量均超过 80万。 图5 APP总量 TOP 10框架及其 APP数量 三、 框架 APP类型分布 我们对两万余种框架生成的 APP进行了分类，如图 6，工具类在框架 APP中 占比高达 69%，网商、游戏与门户网是仅次于工具类的 APP类别。在工具类 中，约 71%为黑客工具与即时通讯 APP，影音播放器、金融 APP（投资理 财、借贷）等也占据相当数量。 从全量角度看，占比最高的 APP类别为黑客工具、即时通讯与网商，三者在全 量框架 APP中的占比分别为 38%、16%与15%。黑客工具主要包括代刷代 挂、免流、游戏外挂、钓鱼、勒索等主流黑灰产工具；即时通讯则主要为微信 与QQ多开；网商包括各类电商 APP，其中以非知名电商 APP为主。 四、 框架平台运营模式与安全隐患 (一) 运营模式转型 在我们收集到的框架中，部分一键打包与工具库框架由相应官方平台提供打包 服务，框架平台多数会同时提供免费与付费服务，付费服务比免费服务支持更 多功能，付费越多，能实现 的功能越强大。如图 7，一款名为 “快打包 ”的网站提 供的三级打包服务，不同等级的功能差异体现在动态效果、支持插件甚至用户 隐私权限等多个方面，尽管如此，低级甚至免费服务所提供的功能足以用于生 成基础 APP，对于追求低成本或对 APP质量要求低的开发者而言，使用低价 或免费版来进行 AP P开发已足够。 图7 快打包三级打包服务 在这种模式下，单一售卖 APP打包服务的经营模式盈利有限，再加上市场竞争 压力大，传统框架平台难以带来理想收入。从 2018开始，陆续有 APP框架平 台停止服务，而部分平台逐渐开始经营模式转型，除了售卖 APP打包服务外， 开始融合多种传统增值服务，如软件著作权代办、应用包上架等，同时开放代 理通道，将框架作为产品销售，因此出现了明明是一套代码，但框架名称与官 方平台地址却不一样的情况；此外，部分框架平台引入了广告联盟，帮助开发 者利用广告变现，以此吸引更多开发者。 (二) 安全隐患 框架平台在提供 APP生成服务的同时带来了多种安全隐患，首先，框架平台缺 乏APP图标、名称等审核机制，存在盗用已有 APP名称或图标的问题，从而 造成对正版 APP的侵权；其次，多数框架在生成 APP时，即使该 APP没有进 行用户隐私获取、收发短信等操作，框架会将这些风险接口直接暴露在所生的 APP中，一旦接口被恶意程序利用可能会带 来用户隐私信息泄露等风险；此 外，框架平台经营模式的转型又带来了新的隐患，一方面框架平台在售卖软件 著作权代办与应用包上架服务时，没有明确必要的 APP安全规范，任何 APP 只要通过办证机构或应用市场的安全检测都可以成功办证或上架，而部分框架 APP本身就有绕过安全检测的特性，因此存在恶意 APP拿到软件著作权或成 功上架的风险，图 8为一款名为 “变色龙 ”的打包平台提供的软件著作权代办服 务；另一方面，如果框架或框架 APP出现安全问题，框架代码转卖也会给责任 归属判断带来一定干扰。 图8 变色龙平台软件著作权代办服务 第三章 APP生成框架生态恶化 APP生成框架的初衷是帮助缺乏一定开发能力或成本的用户完成 APP开发， 但随着 APP生成技术的普及与黑灰产开发、推广需求量的增大， APP生成框 架逐渐被黑灰产广泛用于黑灰产 APP生产。目前 APP生成框架生态问题重 重：其一，部分框架被黑灰产开发者滥用，由这些框架开发的劣质、黑灰产 APP数量远多于优质、安全 APP；其二，部分框架本身就 “动机不纯 ”，专为批 量生产黑灰产 APP而生，这些框架包括数万计黑灰产 APP生成器；此外，还 出现了 AP