知物由学 | “黑灰产”的江湖套路,你造吗? – 作者:wangyiyunyidun

2019年1月,拼多多平台出现系统漏洞,用户可免费领取100元无门槛券。一伙“羊毛党”伺机而动,一夜之间薅走近千万元。

实际上,“羊毛党”无处不在,从雷军直播间的优惠产品、滴滴打车券到北京消费券……一切有利可图的线上活动都不幸成为黑灰产的攻击目标。

9cd85983-7cec-45bf-bf7c-bebe2e1dc287.jpg

除了“恶意薅毛”之外,在技术加持下,黑灰产变现方式甚多,例如植入软件暗扣话费、恶意推送广告流量变现、手机App分发恶意软件、通过手机木马刷量、实施勒索病毒攻击、采用DDoS攻击等。

一项统计显示,国内网络黑灰产上下游从业者超过160万人,每年产值超过1000亿元,从传统的银行、保险公司、电商平台再到网约车App,都成为他们攻击的对象。

随着风控手段升级,普通人很难薅到羊毛,“羊毛党”往往是一个专业的犯罪团伙。黑灰产们利用技术漏洞进行高科技犯罪、游走在欺诈和盗窃边缘。

为了获得巨大的经济利益,黑灰产党必须突破重重安全监控重点,例如,设备ID标识、手机号(电话卡ID标识)、身份信息(ID Card)、银行账户信息,等等。本文针对设备ID标识进行讲解:黑灰产们如何突破?企业如何进行反制?

一、刷机改ID

在拉新、新人注册活动时,市面上的主流APP通常会采集一些设备信息,环境信息,用于标识设备安全或者精准广告推送,由此产生了设备ID标识。

设备ID标识主要用来识别异设备登录,是必不可少的安全环节。不法份子为了从新人或者帐号倒卖中获取暴利,就必须绕过这一标识,从而诞生了改机技术。

改机主要分为两大类,一种是软改,另一种硬改。软改基于Xposed、VirtualApp等。硬改主要是通过修改Android系统源码,在真正调用获取设备ID的函数口进行替换,或者是基于某手机维修软件进行直接的标识替换。

1431c7d5-a3b7-4886-a47c-638b73a3f280.jpg

软改由于特征较为明显,并且手机必须要Root,相对来说比较容易在应用层就可以发掘到环境异常,因而黑灰产逐渐就转向了ROM硬改。

硬改相对于软件改机来说,兼容性稳定性会更高,只需要在特定手机上刷入定制的ROM即可以用来改机,并且可以在定制ROM时为特定应用开启Root权限,因此ROM中会很难发现当前设备是已经被Root过了。

二、硬改机技术原理

通常我们会使用如下函数获取相关的设备ID表示:

TelephonyManager.getDeviceId()
Secure.getString(resolver,”android_id”)
WifiInfo.getMacAddress()

其中某硬改ROM的TelephonyManager.getDeviceId逻辑如下:

d9821745-006f-434f-8c9b-33bc38884dbd.png

一般的软改工具往往会Hook该处逻辑实现修改返回值,但此处其实并没有任何的改动,和官方代码一致。getDeviceId的获取会经过Binder调用后才会真正的获取到IMEI的信息,如下:

1e01744f-9799-49c0-a60e-28c19046992d.png

这里的调用会返回特定的属性值sh.imei,而并非原始的imei信息,因而我们的信息采集无论如何也无法获取到真正的imei信息,跟踪sh.imei的生成发现:

533e0abd-d712-41d2-8800-5f6307c0d4e7.png

由于imei的串码在没有设备数据库的情况下也是可以通过最后一位进行简单的合法性校验,IMEI校验码算法如下:

(1).将偶数位数字分别乘以2,分别计算个位数和十位数之和

(2).将奇数位数字相加,再加上上一步算得的值

(3).如果得出的数个位是0则校验位为0,否则为10减去个位数如:35 89 0180 69 72 41 偶数位乘以2得到5*2=109*2=18 1*2=02 0*2=00 9*2=18 2*2=04 1*2=02,计算奇数位数字之和和偶数位个位十位之和,得到3+(1+0)+8+(1+8)+0+(0+2)+8+(0+0)+6+(1+8)+7+(0+4)+4+(0+2)=63 => 校验位 10-3 = 7

由于硬改ROM的出现导致获取真实的设备信息越来越困难,我们需要通过更加底层的形式来进行信息采集,必要的时候会直接进行系统调用来绕过上层的部分逻辑修改。

如此测试后,发现我们在几个硬改ROM中依然可以获取到一些有用的原始设备标识信息。

三、ROM改机的应用

1.通过云端服务器拉取有效的真机型号信息

2.脚本化操控,批量改机

3.支持数据全息备份,还原A通过脚本改机批量注册了某APP的账号,并通过全息备份后将数据打包转卖给B,B通过数据还原将A的设备信息恢复,实现一次完全无感知的更换设备。

四、ROM改机的检测与对抗

由于ROM改机的特点,常规的检测手段将无法检测出当前的环境异常,因此我们更多的会把目光放在数据层面。

通过大数据和特征的挖掘,我们可以发现ROM改机明显区别于真机的层面,并通过对改机ROM的逆向分析和本地的环境、设备信息挖掘,做到对ROM改机的有效兼容,同时我们会对相关技术进行快速升级。

不过,与黑灰产的对抗是一个漫长的持续过程。联合各方携手共治黑灰产,持续打击“恶意薅毛”行径,也是易盾努力的方向。

b8224829-6e5c-4fa2-b6a9-6f8274589f9d.png

为了让欺诈性改机行为无处躲匿,易盾推出了设备DNA指纹系统,并做了全面升级。该系统依托于指纹技术和大数据算法,能够关联设备硬件、软件、网络等多维度信息,生成唯一的设备DNA指纹。网易易盾20多年大数据积累,使得设备信息标识更加精准。

与易盾一贯的研发策略一致的是,设备DNA指纹系统体现了人类“智能”的本质,既自觉又主动。

一是,它能够主动监测,追踪应用环境的潜在风险和漏洞;二是,它能够通过“自学习”实现智能追回设备DNA指纹,即基于易盾机器学习建模,智能调整权重、升降规则,无视“改机党”对设备信息篡改,坚守设备ID。

8fe6b4ce-0f03-498a-8003-bdfb40557b40.jpg

易盾设备DNA指纹系统支持全平台接入,包括Android、iOS、小程序、H5多种形式,满足企业“预防欺诈风险”、“识别身份伪造”、“支付交易安全”和“精准营销”等多种需求。(作者:汤庸)

来源:freebuf.com 2020-09-14 15:43:31 by: wangyiyunyidun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论