安全预警:借贷软件变脸绕过应用市场
审核
第一章 发现“变脸”应用
一、 背景
近日, 360烽火实验室接到一例反馈:用户描述从某应用市场下载了一个记事
本应用, 经过一段时间的使用后发现该应用内容变成与贷款相关。
图1-1 初次使用时的软件内容
图1-2 经过一段时间之后的软件内容
随即我们根据用户反馈的内容进行快速跟进,发现该应用具有随机变换界面的
功能,且变换后的应用功能已与原应用无关,因此将 此应用称为 “变脸”应用。
二、 应用分类及上架平台
截止到 2019年6月,360烽火实验室共发现 “变脸”应用 5400+余款,其中约
10%的应用以工具类软件当 “外衣”,“变脸”后变成投资理财或贷款类应用;约
90%的应用为投资理财或贷款类应用, “变脸”只是更换一种理财或贷款产品,
应用类型并没有改变。
图1-3 “变脸”应用类型分布情况
360烽火实验室在跟踪 “变脸”应用的过程中发现, “变脸”应用在多个国内主流移
动应用市场均有上架且广受好评,部分应用好评率达到 95%,而且大部分应用
的评论与应用功能介绍不符。
以一款名为 “小猪白卡(手机) ”的应用为例,该应用的介绍称其 “为用户提供一
键检测、智能估价、快速放款、安全可靠的专业回收服务。 ”在该应用的评论区
可以看到近乎满分 的打分和 97%的好评率。而且评论内容中随处可见 “贷款”、
“借钱”的字样,评论内容和软件自身介绍的手机回收服务没有任何关系。这款
软件实际运行后可发现内容充斥着大量网络借贷软件的推广。
图1-4 软件介绍与实际运行内容不符
第二章 解析“变脸”过程
一、 “变脸”行为流程概述
二、 软件行为分析
“变脸”应用首先会进行网络判断,在有网络连接的情况下访问服务器以获取 “脸
谱”指令,根据具体指令进行 “脸谱”展示。
图2-2 判断网络连接
图2-3 访问服务器获取指令
“变脸”应用获取的指令格式为 {"status": 指令},当指令为 “before”时,对应的代码
内容及页面展示为:
图2-4 指令为 “before”时对应代码内容
图2-5 指令为 “before”时对应页面展示
当指令为 “after”时,对应的代码内容及页面展示为:
图2-6 指令为 “after”时对应代码内容
图2-7 指令为 “after”时对应页面展示
当指令为 “secondH5” 时,应用访问服务器获取 HTML5链接地址,利用
WebView 进行加载。
图2-8 指令为 “secondH5” 对应代码内容
图2-9 访问服务器获取 HTML5地址并加载
图2-10 指令为 “secondH5” 时对应页面展示
“变脸”应用如果接收到的指令为 “secondH5” ,展示的内容则是 HTML5页面。
HTML5地址在访问服务器后返回的数据中,该数据由服务器使用者控制,具有
不确定性。在分析 “变脸”应用的过程中,我们实现将服务器返回的 HTML5地址
进行修改,替换成如下图所示内容。因 “变脸”应用可能加载任意 HTML5页面,
用户使用过程中的风险性也就增加。
图2-11 HTML5 地址替换
第三章 剖析“脸谱”线索
根据合作厂商提供的资料,北京某科技发展有限公司曾申请上架 “变脸”应用。
利用该公司名称查询到官网地址等信息。
图3-1 北京某科技发展有限公司信息
根据公司官网地址进行 whois查询到联系邮箱等信息。
图3-2 whois查询
通过联系人邮箱进行 whois反查,关联到七个公司。
图3-3 联系人邮箱 whois反查
不难看出这些公司注册的域名与贷款和钱包有关系,同时我们也追踪到,上述
七个公司上架国内移动应用市场的应用包含贷款类、投资理财类,并且是 “变
脸”应用。
与贷款类、投资理财类应用相比,工具类应用更容易上架移动应用市场,他们
利用这点优势以工具类应用名称做伪装,以达到顺 利上架移动应用市场的目
的,经过 “变脸”后,变成贷款类、投资理财类应用。
2019年1月,360烽火实验室发布了一篇《移动平台新型诈骗解析》的文章,
简述了在传统恶意应用难以获利的环境下,利用赌博、伪贷、投资理财等手段
的获利模式逐步显现。这些应用从实际功能看并无恶意行为,但是它们利用法
律漏洞和用户需求,能在短期内获取高额利润。目前,新的检测手段还未成
熟,需要消耗更高的人工成本,体现更多的是软件审核工作者和恶意应用开发
者的较量。
360 安全预警:借贷软件变脸绕过应用市场审核
安全报告 >
360 >
文档预览
中文文档
10 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共10页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-11-29 01:42:15上传分享