第一章 勒索中的“代刷”
勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,Android平台勒索软件以其高危害、高伪装性、难卸载等特点一直是360烽火实验室关注的重点。针对勒索软件擅于伪装成特定流行软件进行传播的现象,360烽火实验室对Android平台勒索软件伪装类别及相关产业进行了持续跟踪与分析。在2018年3月初发表的《勒索软件“假面”系列——免流软件》中,我们已经介绍了勒索软件的一类“假面”——免流软件,并对免流产业现状、原理与危害做了详细阐述。近期,我们把目光瞄准了一类比免流软件更加常见的伪装类别——代刷代挂类软件(以下简称代刷软件)。
一、勒索软件伪装类别分布
从勒索软件伪装类别分布情况可以看到,勒索软件伪装类别以色情和黑客工具为主,而在黑客工具中,代刷类占比位列第二,仅次于外挂、辅助类。
代刷软件核心代码
代刷网站也是一个下单平台,且交互界面与代刷软件十分相似。代刷网站在接收到代刷软件发送过来的业务请求后会将业务请求连同请求参数一同发送给代刷后台,代刷后台会根据请求参数完成代刷业务。
代刷软件与对应的代刷网站
第三章 代刷产业分析
一、角色分工
与免流产业一样,代刷产业也形成了由上至下、层层发散的产业链,从最上层供货商到中间的各类主站、分站再到最终消费的用户,各角色间既各司其职又有功能衔接与交叉,共同维系着整个代刷产业。
1. 供货商。供货商作为代刷最上游,负责为下层主站提供代刷逻辑与业务支持。当收到主站发送过来的代刷请求时,供货商在自己的代刷后台应用代刷逻辑完成代刷业务并将业务结果反馈给主站;
2. 主站。主站是代刷产业的核心,其上游对接供货商或卡盟,下游对接各个分站,提供了数据存储、建分站、订单查询、支付等多种功能;
3. 普通分站。除了不能建立下级分站,普通分站几乎拥有和主站一样的功能。普通分站拥有修改网站公告、网站名字、网站logo、商品价格等权限。用户在分站下单成功后,分站管理员可以得到相应提成;
4. 高级分站。高级分站是普通分站的升级版,与普通分站不同的是高级分站支持开通下级分站,用户在高级分站或其下级分站上下单成功后高级分站管理员都可以拿到提成;
5. 用户。用户作为代刷最下游,无论是通过代刷软件消费还是Web代刷网站消费,最终都以购买代刷服务的形式为整个代刷产业的运作提供了资金来源。
二、推广与盈利
代刷产业是一种十分依赖于推广扩散来盈利的产业,一方面,在商家泛滥的代刷市场,推广程度会影响商家知名度,而知名度会直接影响用户数量;另一方面,主站与高级分站会从下级分站的收益中抽成,由主站与高级分站扩散出的下级分站越多,其收益越高。代刷产业也是一类“一本万利”的产业,只要维护好特定网站就可以不断推广获利。
1. 推广模式
代刷产业的推广呈现从主站由上至下层层扩散的架构,这是由代刷产业“上层吃下层回扣”的盈利模式决定的。首先,主站的经营者为了盈利,会将自己的代刷网站或者软件通过QQ群、论坛、贴吧等方式发布到网上进行推广,用户可以在这些网站下免费或者低价建立高级分站,成为高级分站管理员,高级分站管理员为了获取更多利益,也会用网络发布的形式去推广自己的分站,以此吸引用户购买代刷业务或在自身分站下建立低级分站,低级分站直接对接代刷业务消费用户,又再次通过网络发布对外推广自己的分站以吸引更多用户来消费。在这种模式下,代刷网站的下级分站与用户数目越多,网站的收益就越高。
代刷产业推广模式
2. 盈利情况
代刷业务以价格低廉的特点吸引了大量用户,而实际上,代刷走的是“薄利多销”的路线,再加上代刷网站或软件的开发与维护成本极低,一个流行代刷主站的获利往往十分可观。通过长期跟进多个流行主站与分站,我们整理汇总出了部分代刷网站的盈利情况。由图可见,主站的日平均利润在数十元至上千元不等,差距甚是悬殊。日均收益最高的是一个主机名为“qqdzz.com”的主站,其运营天数不到一年,而累计交易额已达到了一百多万。
建站源代码
五、加速移动化
现今,移动互联网的发展势头正在渐渐超越传统互联网,面对移动互联网这块“肥肉”,代刷产业的步伐也没有停歇,代刷主战场已逐渐从Web平台转移到移动代刷软件。自2015年开始,Android代刷软件开始批量出现并逐渐增多,且近几年增长趋势逐年增强,仅2017年一年新增的代刷软件就超过了15万个,是2016年总量的3.1倍、2015年总量的35.6倍。
Android代刷软件数量增长趋势
近年来,随着各种Web转手机软件厂家的增多,生成一个手机软件的成本几乎为零。代刷软件的流行给代刷产业带来了又一次春天,但同时代刷市场鱼龙混杂、良莠不齐,一些不法分子打着代刷的旗号传播盗号、勒索等恶意软件,给用户带来了极大的经济损失。
第四章 代刷软件的危害
一、代刷暗藏“杀机”
目前代刷软件中充斥着大量危险的仿冒代刷软件,它们打着代刷的旗号,在用户安装后实施勒索、盗号等恶意行为,给用户隐私与财产安全带来了严重隐患。
1. 锁机勒索
在我们捕获到的代刷软件中,超过一半是恶意锁屏勒索软件。用户在下载安装代刷软件时,极有可能上了勒索软件的钩,而由于代刷软件本身并不是一种合规软件,这些受害用户在被锁屏勒索后,很有可能会选择妥协并主动支付解锁,这越发助长了勒索软件开发者的嚣张气焰与利用用户侥幸心理实施犯罪的行径。
仿冒勒索软件的代刷软件
2. 账号、密码被盗,通讯录被窃
盗窃账号、密码的行为多出现在由IAPP、AIDE等工具开发的恶意代刷软件中。这类软件最明显的特点就是在软件启动后出现账号、密码输入界面,并以代刷诱导用户输入账号与密码,一旦用户点击确认登录按钮,所输入的登录信息就会以短信或网络的方式被发送到指定手机或服务器上。这类软件属于欺诈盗号木马且实际上没有代刷功能,用户不但不能达到代刷的目的,反而会造成自己的账号密码被盗。
盗号界面
除了盗取用户登录凭证,恶意代刷软件还“热衷于”窃取用户的短信、联系人、通话记录等隐私信息。这类代刷软件一旦被安装,会自动获取用户短信、联系人、通话记录等信息并通过各种方式(短信、邮件、网络)上传到远程服务器,且多数情况下,这些软件在首次启动后会自动隐藏桌面图标,使得用户日常无法感知且无法正常卸载,以此达到长期潜伏、持续作恶的目的。
发送短信的代码
3. 变相诈骗
部分代刷软件由于技术落后、端口被封杀等原因无法实现正常的代刷功能,但是其运营人员仍大量推广出售此代刷业务,用户在充值后非但不能实现代刷,充值的金钱也无法退回。这类变相诈骗防不胜防,给用户财产安全带来了严重威胁。
二、统一治理
2018年1月份,北京网信办针对网络上存在的热搜榜、热门话题榜等的刷榜行为进行了统一治理。在对相关负责人进行了约谈后,于2月2号发布了《微博客信息服务管理规定》,开始对微博客信息服务进行更严格监督与管理。
网信办发布《微博客信息服务管理规定》
刷榜行为制造的虚假信息扰乱了社会秩序、损害了公共利益、扭曲了社会道德风向,有的甚至还会带来直接的经济损失。代刷软件作为实现刷榜的一类工具亟待治理,以此还公众一个真实、公平的网络空间。
总结
代刷本身是一个游离于制度边缘的产业,代刷用户都是抱着侥幸或者虚荣的心理进行尝试。恶意软件开发者正是利用了用户的这种心理,大肆传播仿冒代刷软件的恶意软件。随意下载安装与使用代刷软件可能会给用户带来不可预知的风险,对此,用户需要注意:
1. 尽量避免使用不合规软件;
2. 尽量在正规应用市场下载应用,不要轻易安装各种聊天群或论坛的软件;
3. 谨慎授予软件设备管理器等高风险权限;
4. 安装安全防护软件,以便及时识别恶意应用,确保设备与财产安全;
5. 一旦手机中毒,请及时联系移动安全厂商,以最大程度地减少损失。
