🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

安天移动安全联合支付宝发布《APP 在线生成平台安全白皮书》

安天移动安全 安天移动安全
2024-10-28



前言



随着移动互联网技术的快速发展和智能终端的普及,用户逐渐从 PC、PC 端网站向移动智能终端及移动端网页迁移,导致应用程序的形态和应用开发者生态也随之出现变化和迁移,包括 Android、iOS 原生应用开发的大量兴起,网页对移动终端浏览呈现的适配等。这些新的变化也对开发者提出了更高的要求,开发者如何以更低成本的实现应用程序的跨平台能力,同时能够满足移动终端应用的分发需要。

在此背景下,移动终端 APP 除了原生应用(Native App) 的开发和分发形态以外,还衍生出网页应用(Web App) 和混合应用(Hybrid App) 两种形态,混合应用形态通过网页形式的开发语言(HTML、Javascript)即可实现,既满足了应用开发者低成本和跨平台能力的开发诉求,又可以以独立 APP 的形式进行应用上架、推广和分发。

下图是三种形态 App 的对比[1]


Hybrid应用生态发展


公开资料显示,PhoneGap框架被认为是 Hybrid 应用框架最早的鼻祖之一,也是Cordova框架的前身。React Native,Flutter等 Hybrid 开发框架目前也已被广泛应用于 Android、iOS 应用生态。


AppCan可能是国内最早一批 Hybrid 应用框架的实践者之一[1],是由正益无线(北京)科技有限公司开发提供。发展到现在,已经有一批提供在线 APP 生成、打包服务的平台,甚至还包括了应用分发、上架、备案、软著等一站式服务流程,如DCloud(数字天堂(北京)网络技术有限公司)、APICloud(柚子(北京)科技有限公司)等。

Hybrid开发框架的核心主要是实现 JSBridge 技术,有些国内在线 APP 生成平台已经能够提供非常丰富的积木式功能模块和内嵌 SDK 来供开发者选择,开发者甚至只需要提供一个网页域名,勾选需要的功能模块,就能够很方便地生成一款 APP 应用。


APP生成工具vs APP 在线生成平台



这里我们定义 APP生成工具为:开发者通过APP生成工具,只需要极少量、低成本的代码编写或者配置设置,就能够快速打包生成新的应用文件的过程。

我们也结合了业界对 APP 生成工具的分类和定义[2],并按以下几个维度来评估生成工具:

  • 生成工具的开发者背景:境内外的企业、独立或者个人开发者、黑灰产从业人员等

  • 生成工具的形态:脚本、独立工具应用、在线平台服务等

  • 生成工具实现框架和语言:包括易语言 E4A框架,裕语言 iApp 框架,以及按键精灵、多开框架等

  • 开发者实现方式:以 HTML和 Javascript 为主,有的也包括易语言、裕语言及其他的脚本语言

  • 生成工具是否使用对抗技术


由于业界可能对 APP 在线生成平台的范围界定不同,并且与上述APP 生成工具和开发框架相混淆,本报告主要关注在线APP 打包生成平台服务,其主要以国内的企业提供平台式服务,开发者实现方式是通过提供一个域名地址或者少量的网页代码,以及覆盖了部分流行程度较高的个人开发者开发的 APP 打包生成工具,主要的 APP 在线生成平台列表见“附录一”。


1
APP在线生成平台现状


我们从 APP 的生命周期角度来看,APP 在线生成平台满足了应用开发者低成本实现跨平台应用的开发需求,并且部分在线生成平台还帮开发者一站式解决应用分发的问题。

 

01

流行 APP 在线生成平台服务介绍


下面我们以两个主流 APP 在线生成平台为例简要介绍其提供的功能和服务。


“DCloud”在线生成平台


“DCloud”公司全名为“数字天堂(北京)网络技术有限公司”,其为开发者提供包括HBuilder、uni-app、uni小程序sdk、HTML5+、MUI、wap2app等多个辅助开发工具,帮助开发者快速、低成本制作移动互联网多端应用。


其提供的功能服务按照应用生命周期阶段进行映射。

》》应用开发制作相关服务


下图所示为 DCloud 平台向开发者提供的在应用开发制作过程中的相关功能,其中包括轻便简要的应用开发制作和打包工具,模块化的应用内嵌供应链功能模块。

 
这里重点介绍下uni-app和wap2app功能服务。

uni-app 是一个使用 Vue.js 开发所有前端应用的框架,开发者编写一套Web代码, 即可发布到iOS、Android、Web(响应式)、以及各种小程序(支付宝/淘宝/钉钉/头条/QQ/快手/百度/微信)、快应用等多个平台。

通过官方提供的api[6]可以很方便实现诸如网络请求访问等功能,同时其丰富的插件市场也可以很方便的完成一些诸如支付、更新升级插件和功能模块的集成。

DCloud 平台社区还提供了丰富的uni-app 开发模板,开发者下载相关开发模板后,进行简单的代码修改就能实现一款类似的应用。
 

wap2app 是一个将现有M站(也称手机wap站,区别于pc的web站)快速发布成 App 的增强方案,通过 DCloud 的 wap2app 框架,进行简单的配置和必要的编程,即可完成M站的体验强化,达到原生应用的功能体验,进而再发布为原生安装包。

》》应用分发相关服务


DCloud 平台制作的应用的打包方式包括了离线打包和云打包两种,其中,离线打包为开发者下载相关工具,在本地对应用代码进行打包制作,云打包则是需要开发者上传相关文件在线生成 APP 应用,在应用签名方面开发者可选用DCloud公共证书或者是自定义签名证书进行签名发布。

下图所示为应用打包和分发的工具界面,可以看到,其还支持生成线上的分发页面入口或者投放到其他的分发平台。

 
通过上述两种方案,均可以比较便捷的完成从web到移动APP的转化,另外平台还提供应用发行平台,协助开发者获取用户。同时提供高速空间、短网址链接以及二维码等形式,帮助应用实现便捷地一站式分发。

(应用发布页面示例)

由于平台支持开发者开发制作一款 APP,并提供应用分发服务,那么我们比较关注其针对开发者的实名认证和身份审核。

 
安天移动安全发现,开发者在使用大部分功能时无需进行实名认证,只有在使用 DCloud 部分服务(如uniCloud、uniAD等)时会要求开发者先进行实名认证。

在应用制作完成打包时,如果申请了敏感权限(如获取通讯录),也会要求实名认证,如开发者没有相关敏感权限申请,在不进行实名认证的情况下也可以完成打包发布相关操作。

 
但我们根据官方论坛用户反馈的信息也可以发现平台存在认证信息审核不严格的情况。


》》应用运行相关服务


由于 DCloud 平台向开发者提供了其自身实现的一下供应链功能和服务,所以在应用内嵌了这些供应链后,就能向开发者提供APP 用户相关的运营服务,如下图。

 
例如UniPush是DCloud推出的集成型统一推送服务,内建了苹果、华为、小米、OPPO、魅族等手机厂商的系统级推送和个推等第三方推送。开发者只需要开发一次。系统会自动在不同手机上选择最可靠的推送通道发送push消息,保障送达率。

uni-AD广告联盟平台,也可以很方便的集成,帮助开发者进行广告变现。

 广告联盟平台后端信息截图


“变色龙”在线生成平台


“变色龙云”为天津变色龙科技有限公司旗下产品,提供在线制作APP、微信小程序、APP托管等功能。



》》应用开发制作相关服务


开发者通过提供应用名称及网址即可快速完成一个APP的制作,还可以进行一些精细化的调整,极大的的降低了移动应用开发成本。

 
 (APP生成示例图)


平台对开发者应用内容的限制与审查策略如下图所示。

 

》》应用分发相关服务


国内应用市场的应用上架需要经过上架审核,并提供对应的软著材料、域名备案信息等。该平台提供APP上架服务、版权服务功能。如代申请计算机软件著作权登记证书,相关服务在系统填写表格后客服线下联系沟通完成。

其中,App上架服务提供应用上架安卓与苹果市场服务,并提供免费的前期预审,提高上架成功率(包括oppo、vivo、华为、小米、应用宝、百度、360等应用市场)。

 
软著代申请:App电子著作权,计算机软件著作权登记证书代申请服务,加速办理最快1天拿证。

APP内测分发:上传APP文件,自动生成下载链接与二维码,用户通过扫码即可完成应用的下载安装,同时也提供独立下载页及渠道信息统计等功能。这种内测分发服务能够应用于在社交网络应用中通过用户分享裂变的方式实现分发传播,也能够直接嵌入到网站页面进行应用分发下载。

平台在后台操作时也需要进行实名认证后才能进行应用分发等操作。

 

》》应用运行相关服务


平台也针对开发者提供了一些应用运行时特有的服务,例如“域名防红”,域名拦截检测等功能。



02

生成平台应用整体规模及趋势


在对生成平台应用的长期持续关注和检测中,安天移动安全发现,近五年来,在线生成平台打包制作的应用样本数量呈现逐年迅速上升趋势。

 
基于生成平台样本的用户规模分布情况可以发现,绝大部分使用在线生成平台打包制作的应用集中在长尾部分,单一应用只有很小的用户量,86%以上的生成平台相关应用的日活在100以下。


对生成平台打包制作的应用进行品类统计,TOP5的生成平台应用开发者类型依次是生活服务、网上购物、游戏、影音播放和办公商务。

 (生成平台应用品类分布情况)

我们对主流在线生成平台打包制作的应用数量进行统计分析,DCloud平台生成应用数量最多,并且远超出其他的生成平台,其次为APICloud,在流行的生成平台应用中,部分是通过非正规的在线生成平台生成的应用。


 (不同生成平台应用数量和用户规模分布)

我们也统计了主流在线生成平台所制作应用的用户规模覆盖情况,如下表所示。



03

在线生成平台安全问题现状


安天移动安全基于自身安全感知能力和应用风险检测技术发现,当前 APP 在线生成平台存在如下几个安全问题:

1. 在线生成平台不同程度上都被黑灰产团伙用于开发、制作网络犯罪应用或者风险应用,可以说,这些在线生成平台已经沦为移动互联网时代网络犯罪的帮凶,其提供的功能和服务极大降低了网络犯罪应用的开发制作成本和时间,并且这种现象日趋严重。

2. 在线生成平台大都存在应用开发者身份审查和应用审查的问题,部分在线生成平台未提供开发者实名制认证要求,部分在线平台对开发者身份和上传应用内容、功能的审查机制薄弱,甚至是形同虚设。

3. 在线生成平台提供丰富的插件式功能模块,以及一站式的应用分发服务和上架服务,这些功能服务为中小开发者提供便利的同时,也为黑灰产开发者提供了可乘之机,其通过积木式的产品功能选择,多样性的分发方式(包括应用商店上架审核或者线下多种分发渠道),以及平台对开发者上传的应用配置信息和相关代码的加密,都会造成对该类风险应用治理难度的增加。

4. 一些特定品类的 APP 开发者如果选择了不当的生成平台生成,其还可能引入一些隐私合规类的风险问题。

下面是我们对主流在线生成平台制作的恶意应用和风险应用数量统计分析的情况。

》》在线生成平台整体恶意样本和风险应用数量占比

我们对在线生成平台应用的病毒检出率和风险行为程度进行分析统计,事实证明在线生成平台的审查机制存在很大的漏洞。


》》在线生成平台整体恶意和风险应用品类分布


# 恶意应用分布

在线生成平台应用中恶意广告应用的占比多达61%,远超过其他类型,表明利用在线生成平台应用实现恶意广告牟利的应用总数量最为普及。

但其中的RiskWare类型的包名占比高达51%,远超过其他恶意类型,这个现象一定程度上说明了在线生成平台应用中的风险应用类型呈现出更加碎片化,变更频度更快的现象。


我们对 TOP5流行的生成平台恶意应用进行统计,依次是色情应用、贷款诈骗应用、裸聊诈骗应用、色情广告推送应用、金融仿冒应用。


# 应用风险类型分布

我们对使用生成平台的风险应用进行了统计分析,发现贷款诈骗类应用占比最高,远高于其他风险类型,其次较多的风险类型为色情、色播类、仿冒金融平台类、投资理财诈骗类、多开分身类应用。因生成平台低成本、批量化的在线服务制作流程,给风险应用的生成带来了极大的便利。


》》主流生成平台的恶意样本、风险应用数量和品类分布对比


不同生成平台的恶意和风险应用数量占比


我们也发现部分生成平台存在较高的恶意和风险应用占比,个别生成平台已基本沦为风险和病毒应用的加工生产中心。

不同生成平台恶意应用的类型占比


 不同生成平台应用风险类型统计




2
APP在线生成平台案例分析



01

在线生成平台仿冒应用案例


样本基本信息如下:


该应用运行调用本地资源文件,加载微信模板页面,达到仿冒“微信”的效果。


仿冒“微信”程序信息界面截图如下:



02

在线生成平台色播应用案例


样本基本信息如下:


应用通过在线生成平台直接加载网址即可完成一个色情漫画APP的制作:运行截图信息如下:


其网址信息在android/kotlin/myh52apk/WebViewActivity中声明,通过开源AgentWeb直接加载url运行。
应用还会访问色情韩漫网站,网页包含色情内容,并诱导付费使用。


03

在线生成平台博彩应用案例


样本基本信息如下:


该应用通过Dcloud完成web向移动端app的快速转换和发布,其网址等配置信息在assets/apps/io.fhpt.H57AF2106/www/index.html文件中。

最终通过访问https://app777.fhptcdn.com/api.php获取博彩网址链接https://hggjapp88.com/mobile/,访问博彩网站。



04

在线生成平台诈骗应用案例


样本基本信息如下:


该应用主要代码功能通过本地的html和js代码实现,在assets/apps/H5D07FD81/www/index.html中。


其通过js代码获取通讯录信息和短信信息进行上传,窃取用户隐私信息,以完成后续勒索行为的前期数据收集。


通过伪装的虚假界面信息获取用户输入的手机号码信息。



05

利用生成平台对互金行业的攻击案例


样本基本信息如下:


该应用运行截图信息如下:


抓包获取应用网址是http://www.278ffy.com/mobile/index.html

该应用通过在线生成平台Apkpacker生成,运行从assets/bootstrap中获取配置信息。

解密后的配置信息:

>>>高度定制化的APP生成框架攻击事件案例


暗雷是一种新型的黑产诈骗形式,其通过色情、刷单等方式诱导用户安装恶意APP,并引导用户在APP内支付“小额会员费”,用户看似“小额”支付,实则支付了数百甚至上千元。

移动端暗雷前身其实是知名的“一元”木马,它早在2006年问世,随着移动APP覆盖我们的工作、生活,同时黑产技术不断更新换代,暗雷黑产也从PC端转移到移动端。在2018年出现移动端H5暗雷,随着技术对抗的不断升级,暗雷近期渐渐向NATIVE暗雷发展。

对于H5暗雷,在APP内通过webview加载三方或四方支付工具的H5页面端的收银台,利用了页面元素可以被遮盖和篡改的特性,将支付金额覆盖,达到用户看似“小额”支付,实则提交大额订单。

对于NATIVE暗雷,恶意APP需要获得悬浮窗、辅助功能等权限,其通过scheme唤起三方或四方支付工具的APP客户端并在端内打开恶意APP伪造的小额支付页面,该页面可以骗取用户支付密码和并跳转到伪造的大额订单页面,随后通过辅助功能拿到控制权,将伪造的小额支付请求页置顶,覆盖真实的大额支付。

以某视频APP为例,其在运行时界面显示支付金额为1.99元的会员费,但通过实际的分析和后台网络请求数据可以看到,最终发起的支付请求金额为500元。


同时代码中还有使用执行JavaScript代码对相关H5界面元素的处理操作,使用户不能查看到真实的支付界面信息。



暗雷欺诈目前已形成完整的产业链,他们分工明确,在圈内有着这样的黑话:船长->色软平台管理员,渔夫->平台运营者,鱼->受害者,杀鱼/开->欺诈成功,控了->支付宝提示风险支付失败。

船长为专业的技术研发团队,他们负责实现暗雷客户端以及服务端的构建,随着安全对抗升级,船长们不愿意暴露自身,因此退居幕后,为下游的渔夫提供一条龙服务。船长使用高度定制化的APP生成框架生成不同APP名称以及支付方式存在些许差异的APP以方便不同渔夫的渠道分发。如下图所示,船长构建了服务管理后台,在后台中渔夫填写账户信息、收款信息、分成比例以及欺诈方式便可生成渔夫独有的暗雷欺诈APP,便于后期的分发。

(某暗雷APP后台生成模板设置)



3
总结




随着移动互联网技术和智能终端的广泛普及,移动互联网应用场景和媒体形态日益丰富,APP成为流量的重要入口。Hybrid App混合模式开发,以及伴随着各类APP生成平台的出现,使得各类开发者能够以低资金与人力成本投入实现APP的快速开发,极大程度上缩减了移动应用开发周期,同时模块化及APP在线生成平台的后端支持也节省了后期的维护成本。

在流量利益的驱使下,黑灰产出现大规模扩张,黑灰产产业链已经具备规模化、体系化特点,可低成本复制。安天移动安全联合支付宝在针对移动恶意应用,风险应用和移动金融风险的持续检测和分析时发现,从APP开发、资质审核、上架审核,再到市场运营,目前市场上已经形成了服务于APP全生命周期的黑灰产业链,其中就包括APP生成平台,这些生成平台无疑为移动生态安全带来了不可忽视的安全隐患。

移动互联网生态良性有序发展离不开行业相关规范和标准的引导,以及海量发现、关口前移的技术手段进行治理和约束。APP生成平台具备开发技术门槛低、成本低、跨平台适配等特点,能够满足很多中小企业的实际需求,不应该成为黑灰产作恶的工具。

APP在线生成平台应明确APP安全规范、加强APP安全审核,从源头上阻止风险APP进入市场,对于业务模式转型引入的增值服务,如软件著作权代办、应用上架等,更应严格执行APP安全性评估,不为风险APP取得相关权证或上架提供便利,规范自身运营的同时助力良性、有序移动生态的构建。


参考链接:
1. https://baike.baidu.com/item/hybrid%20app/270520
2. https://blogs.360.cn/post/APP_Plugin.html
3. https://mp.weixin.qq.com/s/XchYY7n79eIjedryDVMwUA
4. https://mp.weixin.qq.com/s/IgIUvCQGXmrqNyBFQCuudg
5. https://mp.weixin.qq.com/s/htBzcZVKBBDhNwCbJjZmLg
6. https://uniapp.dcloud.io/api/request/request

附录一:主要APP 在线生成平台列表

平台名称
平台开发者信息
官方网址
云打包
河南云打包网络科技有限公司
http://www.yundabao.cn
APICloud
柚子(北京)科技有限公司
http://www.apicloud.com/
appmaker
深圳市易天互联网络科技有限公司
http://appmaker.cc/index
不凡APP
福建大凡网络科技有限公司
https://www.bufanapp.com/
AppCan
正益移动互联科技股份有限公司
http://www.appcan.cn/
DCloud
数字天堂(北京)网络技术有限公司
http://www.dcloud.io/index.html
变色龙云
天津变色龙科技有限公司
https://www.bslyun.com
应用公园
深圳市致宇天承科技有限公司
http://www.apppark.cn/
香蕉云编
广州市想说电子商务有限公司
https://www.yunedit.com/
一门APP
成都一门信息技术有限公司
https://www.yimenapp.com/
26ge
温州留林信息科技有限公司
https://www.26ge.com/
奇速平台
上海书怀网络科技有限公司
https://qisuapp.com/
169hezuo
史江斌(个人)
http://app.169hezuo.com/
APKPacker
未找到公司关联信息
https://apkpacker.krpano.tech/index.html
h5apk
券表妹(厦门)科技有限公司
http://h5apk.cn/
信诺通联
北京信诺通联科技有限公司
http://www.sinotl.com/
轻打包
郑州艾迪儿网络科技有限公司
https://qingdabao.com/
叮当应用
南京厚建云计算有限公司
http://www.ddapp.com/
力谱云
上海力谱宿云信息科技有限公司
https://www.maxwon.cn/
多豆云
重庆多豆科技有限公司
https://www.ofcms.com/
第八区
福建喜佳宝网络科技有限公司
https://www.dibaqu.com/
会搜云
杭州会搜科技股份有限公司
https://www.huisou.cn/
deviceone
北京中兴汇智计算机系统技术有限公司
www.deviceone.net
爱米网
北京效果无限传媒信息技术有限公司
http://www.appbyme.com/
Rexsee
北京云球创新文化有限公司
http://www.rexsee.com/index.html
掌商科技
莞市掌商信息科技有限公司
http://www.52pb.cn
APP工坊
张申(zhangzhangsen@hotmail.com)
http://appworkshop.cn/
开心APP
东莞老表网络科技有限公司
http://www.kxapp.com/
亥著平台
安徽徒鸽网络科技有限公司
https://www.haizhuyx.com/
Appery.io
海外
Appery.io
website2apk
海外
https://websitetoapk.com/index.html
AppDeck
海外
http://www.appdeck.mobi/
Appmaker
海外
https://appmaker.xyz/
appseasy
海外
https://www.appseazy.com/
Andromo
海外
http://www.andromo.com/
appsgeyser
海外
http://www.appsgeyser.com/
mobincube
海外
http://www.mobincube.com/
SeattleClouds
海外
http://seattleclouds.com/
Website 2 APK
海外
websitetoapk.com
swiftic
海外
https://www.swiftic.com/
Appmachine
海外
http://www.appmachine.com/
Shoutem
海外
http://www.shoutem.com/
GoodBarber
海外
http://www.goodbarber.com/
Appy Pie
海外
https://www.appypie.com/
Trigger.io
海外
https://trigger.io/
ApkCreator
海外
http://apkcreator.frankwebstudio.com/
AppCreator24
Vinebre Software, S.L.
https://www.appcreator24.com/
AppYet
海外
http://www.appyet.com

继续滑动看下一个
安天移动安全
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存