华为手机恐成“静默拉活”受害者

相信大家对“肉鸡”这个词不陌生,它是指中了木马,或者留了后门,可以被远程操控的机器。它最早出现于电脑,由于当时很多人的电脑几乎不设防,于是纷纷中招,被远程攻击者完全控制,肉鸡中的所有电脑资料因此成为远程控制者砧板上的肉,想怎么吃就怎么吃,“肉鸡”一名由此而来。

随着智能手机市场的蓬勃发展,手机变“肉鸡”也已经不再鲜见。手机“肉鸡”主要是指手机系统里植入了一个类似木马的病毒SDK(软件开发包),导致手机不自知地下载、激活多个应用,整个过程中手机运行速度减缓、卡顿,这种变相盗取用户流量和个人隐私的手机“肉鸡”给用户带来极大的安全隐患。

手机新型肉鸡怎么玩?

在巨大利益诱惑面前,手机变“肉鸡”屡禁不止。就在春节前,以疯狂盗刷用户流量、窃取用户隐私的“肉鸡”新变种——“静默拉活”悄然出现。所谓“静默”就是在用户毫不知情的情况下进行,所谓“拉活”是通过在手机系统中预装一个用户看不见的SDK,为用户下载、预装或替换应用程序,以及随时激活多个应用程序,从而完成虚假“拉活”的目的,以满足某应用软件的日活要求,从而与广告代理商进行利益分成。广告主所花费的巨额广告费在虚假的日活数据面前,以“静默拉活”的方式打了水漂,手机用户则会和当年的PC用户一样,遭遇系统变慢过热,流量快速消耗,用户隐私泄露等风险。

这种新玩法最大特点是:SDK必须植入手机系统内核,以普通方式安装APP是无法完成“静默拉活”的。

据了解,北京佰策科技有限公司(简称“佰策科技”)与某手机厂商为了诈取广告主对于自家应用程序DAU(日活)的广告费,实施了“静默拉活”的新玩法,在该品牌手机系统中植入了SDK,把手机变成了新型“肉鸡”,春节前因此事佰策科技的CEO和几十名员工以及该手机厂商的高管均被警方带走调查。

如果得不到手机厂商的配合,“静默拉活”的SDK是否就无法影响手机呢?其实还有一条隐秘的路径:就是通过和手机厂商有正常合作的其他SDK捆绑在一起,偷偷潜入手机系统当中。例如警方发现:佰策科技的“静默拉活”代码,通过珠海市小源科技有限公司(简称“小源科技”)和魅族手机合作的SDK,利用SDK的自升级能力,植入了大量魅族手机,并获得了巨额非法收益。

小源科技是佰策科技公司投资方之一,其公司CEO等高管及魅族手机相关高管,在春节前也因此事而被带走调查,目前尚不得知魅族高管对自家手机内置了SDK的“静默拉活”事件是否知情。至此,佰策科技、小源科技及多家植入了小源科技的SDK的手机厂商均牵涉其中。

上述多起事件中,小源科技具有正常功能的SDK被嵌入到手机厂商系统后,再通过SDK的自升级模式将佰策科技的恶意代码放入其自身的SDK中,从而使手机变“肉鸡”,这样就完成了这场流量黑产的巨额欺诈。

华为手机嵌入了小源科技的相同SDK,技术剖析图详解作恶路径

记者特意询问了手机系统软件行业的技术人员,技术人员就小源科技SDK中使用的dex动态加载机制(技术原理),在华为手机上做了相应的反编译分析。发现,小源科技为华为手机提供的第三方服务是以插件的形式实现,其将代码及资源集成在SmartMmsPlugin.apk中,以插件形式利用短信应用Mms.apk将代码和资源加载进来。

在华为手机上,小源科技的SDK使用了dex动态加载机制,可实时将dex从后台进行下载更新,并动态加载到ROM(手机系统)中。具体实现原理如下:SDK中支持dexClassLoader(手机安卓系统中独有的类加载器),可以动态加载.dex(一种文件格式),这样就可以在后台从服务器上下载并更新含有恶意代码(比如暗拉活功能)的后缀为.dex的文件。.dex文件下载以后,该SDK对文件进行加载,这样就可以将恶意代码加载到ROM中。以此,恶意代码便会加载到短信应用中,短信应用是系统应用,具有较高权限,恶意代码利用短信的系统权限,非法拉活应用,谋取非法利益。

而在我们所熟悉的Google Play和苹果App Store中,对于以上提到的动态化方案都有非常严格的限制。

小源科技的SDK使用dex动态加载机制的具体操作如下:

(1)对后台定期检查服务器端是否有新的dex文件,如果有的话会进行下载,同时下载完成后对压缩包进行检查,解压

(2)解压生成临时文件,并删除原始dex

(3)删除原始dexClassLoader,生成新的dexClassLoader

(4)通知其他模块

可以看到,小源科技对华为手机使用了如上的dex动态加载机制,利用这种机制便可以偷偷把实现“静默拉活”的恶意代码带入华为手机系统,让华为手机存在变“肉鸡”的风险。

华为手机用户覆盖量巨大,上亿用户可能受到影响

笔者在小源科技的官网中可以看到,与其合作的手机厂商,包括华为、魅族、小米、vivo三星等40余家,所涉范围之广,不禁令人胆寒:我的手机品牌赫然在列,那么我的手机是不是也会被肉鸡了?

如图所示,小源科技官方网站合作厂商

小源科技曾多次在对外报道中提到,其合作手机厂商40多家,终端覆盖10亿+。那么试想,如果对外报道为真,那么这10亿+的终端是不是都可能会变成“肉鸡”?多少用户的手机可能会被侵犯?广告主又有多少数额庞大的广告费会被打水漂?细思极恐。我们再看,以小源科技对外宣称的合作伙伴华为、小米、vivo、三星为例,在最近的市场调研机构Counterpoint Research公布的2019手机国内手机市场份额排名中可以看到,华为市场份额为24%、小米为10%、vivo为18%,而三星手机全球整体市场份额约占23%,那么是否可以想象,面临着手机变“肉鸡”风险的智能手机用户体量有多庞大?

对于像提供SDK的中间商——小源科技这样的公司来说,我们需要呼吁其应技术向善,洁身自好,只有这样“静默拉活”才可能绝迹于产业链,手机用户被“肉鸡”的命运才可能终止。

切记水能载舟,亦能覆舟。君子爱财,取之有道,守住道德底线,依靠技术实力和优质服务,以及摒弃旁门左道,才是博取市场青睐的沧桑正道。