“Preload”SDK：影响数百万Android手机的黑产营销插件

2020年12月，奇安信威胁情报中心移动安全团队通过奇安信威胁情报中心大数据平台监测到，国内某黑产组织投入的恶意黑产“Preload”SDK插件其访问的云控黑产插件下载服务器自2020年11月末开始进入新一轮爆发期。

“Preload”SDK插件的云控黑产插件服务器近期爆发期访问趋势

通过分析和关联，奇安信威胁情报中心移动安全团队发现“Preload” SDK自2019年7月开始被投入使用，至今共涉及百余款APP，其中部分游戏APP还出现在国内数个主流移动应用商店，累计感染百万级移动终端用户。“Preload” SDK通过加载云控下发的隐私收集、扣费及刷量等多个黑产插件进行不同黑产活动；结合追踪挖掘其对应幕后公司的业务范围，“Preload”SDK的最终目标是为了帮助幕后公司实现恶意互联网营销以牟取丰厚的黑灰色收入。基于该黑产C&C服务器名字和SDK的实质作用特点，我们将其命名为“Preload” SDK。为防止威胁进一步扩散，我们对该移动黑产活动安全事件进行详细分析和披露。

感染及影响范围

节假日现访问高峰

基于奇安信威胁情报中心的大数据监测系统显示，以“Preload”SDK的其中一个主要黑产C&C服务器（命令和控制服务器）日常访问量来看：受感染设备每逢节假日就会出现一个访问的小高峰。我们对受感染的应用进行跟踪分析后发现，受感染的APP基本上均是指定的游戏类和诱惑视频APP，这类APP非常符合部分网民宅居时打发消遣时间的使用习惯，也印证了为何“Preload”SDK访问其C&C服务器的高峰期会发生在节假日期间。

C&C服务器：preloadedslb.hishendeng.com日常访问曲线图

有意思的是“Preload”SDK的黑产C&C访问最高峰是在2020年4月（近200w次日访问）；但进行下发的黑产恶意插件下载服务器访问并未对应在顶峰，而是维持在一个较为平稳的趋势直到近期才进入激增阶段。分析推测在其影响量最广的时候，黑产团伙采用保持一种较低频率触发黑产活动来获取黑产收入的模式，来避免被察觉，但随着“Preload”SDK的影响量下降，为保障继续获取较高的黑产利益，黑产团伙相应提高了黑产活动的触发频率。

受影响Android应用

通过分析和关联，我们发现“Preload”SDK插件被市面上百余款APP使用，从这些受影响APP分类来看，使用了“Preload”SDK 的APP主要集中在指定的游戏类和诱惑视频。我们通过这批感染的APP名称制作了如下热词图，不难看出大部分APP均为游戏、色情诱骗类APP。

感染量省级分布

从地域分布来看，“Preload”恶意SDK感染量最多的省份为广东省，占据全国感染量的8.34%，其次为河北（8.30%）、河南（7.50%）、山东（7%）和贵州（6.2%）。此外，江苏、广西、四川、新疆和湖南的“Preload”恶意SDK感染量排在6-10位。

传播途径

通过对APP的传播渠道追踪分析发现，此次涉及到的一些游戏出现在国内数个主流手机应用商店进行传播。我们认为此次“Preload”恶意SDK能成功避开主流应用商店严格的审查和安全检测流程机制，主要应该是由于该黑产组织在进行提交应用上架时对云控响应做了对应的关闭策略停止了黑产活动的触发。由此可见，该黑产组织有相当成熟的一套黑产运营流程。

“Preload”SDK之技术分析

奇安信威胁情报中心移动安全团队通过对感染了“Preload” SDK的黑产APP详细分析后发现，这批感染的黑产APP总共采用两种不同加载方式，在运行后通过释放子包加载和自动触发“Preload” SDK等待执行云控服务器下发的指定黑产插件进行黑产活动。该SDK事实上构建了一个百万级别受控系统的Botnet，随时可以执行各种包括推广刷量到网络攻击等各种恶意功能，给用户设备造成巨大的安全威胁。目前我们已发现其在历史黑产活动时带有的隐私收集、扣费及刷量等多种不同云控黑产恶意插件。

内嵌插包加载

通过分析发现，相关黑产组织汇直接把恶意模块通过加密未知成一个so文件，通过动态库解密释放加载。

直接内嵌加载方式

动态间接加载

为躲避一些传统安全厂商的恶意代码检测技术，攻击者还会采用更加隐蔽的动态加载“Preload”插件的方式。比如在APP运行后，通过解析服务器下发的插件配置指令文件，再加载执行指定的恶意插件，而其中就包含着数据收集、刷量、网络代理等插件模块。

间接动态加载方式

云控黑产插件模块

隐私收集插件

受感染的Android手机应用启动后，“Preload”便会通过云端控制执行下发的数据收集模块。数据收集模块会上传手机已安装应用列表、运行中的应用列表、网络信息、存储卡和内存大小等移动设备隐私信息至攻击者服务器。

上传移动设备隐私信息参考图1

上传移动设备隐私信息参考图2

广告刷量插件

云端还会下发广告刷量作弊模块，在模块中通过模拟点击刷广告，目前已发现其带刷有爱奇艺视频相关业务。

广告刷量

扣费插件

云端还会下发扣费模块，诱导用户点击后，进行扣费及短信拦截，并支持删除下发带关键字的短信。

短信扣费处理

删除短信

幕后推手分析

“Preload”SDK使用到的插件感染技术使得黑产组织都可以快速集成到目标APP中，且一般传统的恶意代码检测方式较难快速识别，这也是造成这类攻击影响面较大的原因之一。

奇安信威胁情报中心移动安全团队在针对“Preload”SDK的分析及幕后开发者的追踪溯源过程中通过对“Preload”SDK包内信息及C&C服务器关联分析，结合特殊的指定类应用游戏背景，“Preload”SDK疑似与国内某移动互联网营销组织的活动有关，这也是“Preload”SDK会造成此次黑产活动影响面较大的另一个重要因素。

总结

随着移动互联网的飞速发展，用户规模不断增长，金融、生活以及社交和娱乐等全面向移动互联网迁移，这也导致移动互联网各类应用爆发式的增长。其中不乏大量利用用户对娱乐、色情产生依赖而生的黑灰产类恶意APP。这类APP披着合法的外衣但通常在背地里干着窃取用户隐私、恶意扣费、资费消耗等恶意行为。

而“Preload”SDK功能强大，编写非常专业，并且运用多种免杀对抗手段。如果没有长时间的积累和相关娴熟的分工配合是不可能开发实现的，于此亦可窥见现今移动端黑灰产往往不是个体造成的，而通常是团队分工合作的一整套成熟积累而成。

针对普通用户如何避免遭受诸如“Preload”恶意插件的侵害，奇安信威胁情报中心移动安全团队给出了以下防护建议：

1. 使用正版和较大的官方应用市场提供的APP应用，不要安装非可信渠道的应用、不要随意点击不明URL链接和扫描安全性未知的二维码信息；
2. 移动设备及时在可信网络环境下进行安全更新，不要轻易使用外来的网络环境；
3. 确保安装有手机安全软件，并进行实时保护；
4. 若发现手机感染木马病毒，请及时使用安全软件进行清理，避免重复交叉感染。

附录：移动安全团队及产品介绍

奇安信威胁情报中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流行的刷量、诈骗、博采、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值攻击发现流程已捕获到多起攻击事件，并在去年发布了多篇移动黑产报告，对外披露了四个APT组织活动，其中两个是首发的新APT组织（诺崇狮组织和利刃鹰组织）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络安全砥砺前行。

奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验，从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信态势感知事业部及其合作伙伴奇安信威胁情报中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产，发布环节，为客户提供APP加固、检测、分析等；移动态势感知面向具有监管责任的客户，更加着重于APP的下载，使用环节，摸清辖区范围内APP的使用情况，给客户提供APP违法检测、合规性分析、溯源等功能。