gz穿越火线mod内置菜单

神秘SDK暗刷百度广告 植入数千款APP

从腾讯安全了解到，腾讯安全反诈骗实验室追踪到暴风影音、天天看、塔读文学等众多应用中集成的某SDK存在下载恶意子包，通过webview配合js脚本在用户无感知的情况下刷百度广告的恶意操作。

该恶意SDK通过众多应用开发者所开发的正规应用，途经各中应用分发渠道触达千万级用户；其背后的黑产则通过恶意SDK留下的后门控制千万用户，动态下发刷量代码，大量刷广告曝光量和点击量，赚取大量广告费用，给广告主造成了巨额广告费损失。

根据安全人员详细分析，此恶意SDK主要存在以下特点：

1、该SDK被1000+千应用开发者使用，通过应用开发者的分发渠道抵达用户。主要涉及的应用包括掌通家园、暴风影音、天天看、塔读文学等，潜在可能影响上千万用户；

2、刷量子包通过多次下载并加载，并从服务器获取刷量任务，使用webview加载js脚本实现在用户无感知的情况下自动化的进行刷量任务。

此类流量黑产给传统的广告反作弊带来了极大挑战，传统通过IP、曝光频率、点击率等表象数据形成的反作弊策略难以识别这种控制大量真实设备做’肉鸡’的刷量作弊，使得大量广告费用流入黑产手中，却无法给广告主带来应有的广告效果。

SDK作恶流程和影响范围

此恶意SDK集成在应用中的那部分代码没有提供实际功能，其在被调用后会定时上报设备相关信息，获取动态子包的下载链接，下载子包并加载调用。然后由子包执行相应的恶意行为。

恶意SDK作恶流程示意图：

受恶意SDK影响的主要应用列表：

恶意SDK作恶行为详细分析

此恶意SDK被众多的中小应用开发者集成，我们以应用塔读文学为例，对其恶意行为进行详细分析。

恶意SDK代码结构

此sdk代码较少，没有什么实际的功能。其在被加载调用后，会设置定时任务，每隔3600秒（1小时）启动GatherService，上报设备相关信息，获取动态子包__gather_impl.jar的下载链接

GatherService链接服务器，获取__gather_impl.jar的下载链接

请求链接：http://gather.andr****.com:5080/gupdate/v1

请求数据：包括uid、应用包名、设备id、应用版本、手机厂商、型号、系统版本、imei、sdk版本等内容

返回内容：包括子包的版本、下载url、文件md5

动态加载下载的__gather_impl.jar

子包__gather_impl.jar代码结构，此子包的主要功能有：1、上传用户设备信息，2、下载并动态加载子包stat-impl.jar

1）、链接服务器，上传用户设备信息

服务器链接：http://userdata.andr****.com/userdata/userdata.php （此url在分析时已失效，无法链接）

上报内容：包括位置信息（经纬度），用户安装列表（软件名、包名），设备信息（厂商、型号、fingerprint，是否root），deviceid、手机号、运营商、imei、mac等。

2）、再次请求服务器，获取stat-impl.jar的下载链接

请求链接：http://iupd.andr****.com:6880/wupdate/v1

请求数据：包括uid、imei、sdk版本、手机厂商、型号、系统版本、应用包名、设备id、设备指令集等内容

返回内容：包括子包的版本、下载url、文件md5

子包下载完成后，调用native方法动态加载此子包

stat-impl.jar的代码结构：

stat-impl.jar子包被加载后，线程com.drudge.rmt.g会被启动，其作用主要是用来联网获取刷量任务，并调度任务的执行。

主要的刷量任务包括：1、刷百度搜索的关键字，2、使用js脚本实现自动点击、滑动来刷百度广告和亿量广告的点击，3、使用webview刷网页访问。

1、刷百度关键字搜索

此任务会根据获取json字符串，进行相应的操作，包括设置BAIDUID、更新配置、添加任务、设置剪切板和使用关键字刷百度搜索

设置关键字，使用webview加载对应的url

捕获到的刷百度关键字的webview加载请求：

链接服务器http://tw.andr****.com:6080/wtask/v1获取相关任务,并将任务内容存入[package]/cache/volley目录下

2、使用js脚本刷百度广告

使用webview加载http://mobads.baidu.com/ads/index.htm，并在加载完成后执行js脚本实现自动滑动、点击、保存等操作来自动刷广告

相关的js脚本

1)、js函数定义滑动、点击、保存等操作

Java层解析并实现js层传递过来的操作命令

2）、js函数判断并获取页面元素

...

3）、js函数计算页面元素相对位置，并进行滑动、点击操作

...

捕获到的刷百度广告的webview加载请求：

3、使用webview刷网页访问

此任务向服务器请求需要访问的url链接，在获取到相应的网页url后，使用webview加载进行访问。

请求需要访问的url链接

请求链接

http://us.yiqimeng.men:8080/geturls?k=beike-xinshiye&c=5

返回内容

["http://m.xinshiye.cc/cars/17/10/21/707989.html?content_id=707989u0026key=x2HAJuZaaa9YWpVa8EXTqOmHHUxhSnj75xhhAS7f6tveQsphsCm3jc9xrhV4RZbRzgm%2FQqzCVcw2dvukMqw25Q%3D%3Du0026_t=1511190410",

"http://m.xinshiye.cc/cars/17/10/11/234818.html?content_id=234818u0026key=NzLZyHQXsCdpS6bkAWab2LSzd2XApbGOJYUuN%2Bm4PFsoWk1l%2FnZSD8M1yp1cuhz%2FdL0uoNG93TVt8ai6zEU%2BQw%3D%3Du0026_t=1511190560",

"http://m.xinshiye.cc/cars/17/11/26/1769446.html?content_id=1769446u0026key=8KLxL1fm2gwNDxqT6nsSAbQ07kcEZRHBrekhzNSJcNaAg1nZmbW49pQ3EaEYJfMUeMlwSX4KzdliXJ3O37fs9g%3D%3Du0026_t=1513046929",

"http://m.xinshiye.cc/cars/17/10/31/1444661.html?content_id=1444661u0026key=mODVhDy0zyzBGH1G6sTwDYXqiy3D7pDfymsirda6s5%2BW8tarfIDPjuhT3mkqeMMDKzKr%2BFVC2Py2gzsNkMniHw%3D%3Du0026_t=1509589907",

"http://m.xinshiye.cc/cars/17/12/09/1921549.html?content_id=1921549u0026key=0XFxkCX0Bn4k%2Fw5%2FqvlSIOCREqEWoJ5jimqn%2BZAeJIwksQzydyT0AZFAVZJAritm3hpGza4TFNlONZDtoY%2BfTA%3D%3Du0026_t=1513045278"]

使用webview访问获取url

捕获到的刷求医不如健身网的webview加载请求：

相关URL整理

安全建议和防范手段

从近期Android端恶意应用的作恶手法来看，恶意开发者更多地从直接开发App应用转向开发SDK，向Android应用供应链的上游转移。通过提供恶意的SDK给应用开发者，恶意开发者可以复用这些应用的分发渠道，十分有效的扩大影响用户的范围。

而在恶意SDK的类别方面，黑产从业者主要把精力放在用户无感知的广告刷量和网站刷量等方向，通过使用代码分离和动态代码加载技术，可以完全从云端下发实际执行的代码，控制用户设备作为“肉鸡”进行广告、网站刷量等黑产行为，具有很强的隐蔽性。

这类流量型黑产逐渐增多，不仅对手机用户造成了危害，同时也给移动端广告反作弊带来了很大的挑战，传统基于IP、曝光频率、点击率等表象数据形成的反作弊策略难以识别这种控制大量真实设备做’肉鸡’的刷量作弊，难以保障应用开发者和广告主的正当权益。

针对终端用户，有如下安全建议：

1、尽可能使用正版和官方应用市场提供的APP应用；

2、移动设备即使进行安全更新；

3、安装手机管家等安全软件，实时进行防护。

简单操作，拥有自己的私人网盘

由于最近 腾讯云、阿里云、Vultr、搬瓦工等 VPS 都陆续在打折，非常推荐大家现在趁机会入手一台低价 VPS 服务器练手玩玩，不仅能增长知识，而且实用性也非常高！

比如可用来搭建网站/博客、学习 Linux 命令、内网穿透、学习网络编程、搭建开发/测试环境、托管代码、搭建游戏服、测试应用等等。不过对大多数人来说，最实用的还是「架设私人网盘」用来同步/备份/分享文件了。

而 Cloudreve 则可让你轻松简单地搭建自己的网盘……

「Cloudreve」是一款出色的国产开源免费 PHP 网盘程序 (最新版已改为 Go 语言全新开发，无需配置 PHP 环境，性能更好，也更轻量强大)。它能帮您快速简单并以最低的成本搭建一个公私兼备的网盘系统。而且安装过程非常简单，只要你有自己的服务器，几分钟就能搭建起来。

你可以将 Cloudreve 作为个人私有云网盘使用，也可作为小型公共云盘给公司、团队甚至是大量用户多人共同使用。Cloudreve 支持在 Windows 和 Linux 主机上搭建，功能很丰富，而且还很接地气，基本上你需要的网盘功能它都能提供。

可接入多家公有云文件存储服务

你除了可以将网盘文件储存在服务器本机的硬盘之外，它还能快速同时对接国内外多家云存储平台，将文件储存到腾讯云 COS、阿里云 OSS、七牛、又拍云、亚马逊 AWS S3、OneDrive 或者是保存在你的另一台远程服务器上。而每种存储方式的上传下载都是客户端直传的。

并且，在 Cloudreve 网盘的界面上，你还能随时在这些云存储服务之间来回切换，空间的使用非常灵活，扩展超级方便！这点比起绝大多数同类网盘工具都要好。

支持 WebDAV

Cloudreve 拥有响应式布局界面，支持电脑端和手机端浏览器访问；比较有特色的是，它还可以支持 WebDAV 协议连接访问！而且也能通过 WebDAV 访问你接入好的第三方云存储。

因此你可以使用各种支持 WebDAV 的客户端和文件管理器，也能使用「RaiDrive」这样的工具将 Cloudreve 网盘映射“变成”电脑本地磁盘使用，实现无缝跨平台，这一点实用性超强，真的非常赞！

可公开分享文件

用户可以利用 Cloudreve 创建私有或公有的分享链接，可以设置密码和过期时间，快速将文件或将整个文件夹 (目录) 分享给好友。

他人可以链接来查看用户所有分享的文件，部分文件甚至还能即时预览。你只需将共享链接发给别人，他们就能直接打开并下载你分享的文件。有了它，你也能打造一个属于自己的城通网盘、百度网盘了。

支持文件预览/编辑/在线压缩解压

Cloudreve 支持在线预览文件，格式包括图片、视频、音频、PDF 以及「Office 文档」等常见文件格式的在线预览；并且它可以支持 TXT 文本文件、与 VSCode 同款的编程代码预览 以及 Markdown 文本的在线编辑等。

配合深色主题，在线查阅代码、看小说都很方便。文件上传也支持拖拽上传、大文件分片上传、断点续传、下载限速等。文件也能在线压缩和解压，可以一次打包下载多个文件或文件夹。

支持文件标签整理和搜索

如果你存放在网盘上的文件太多，你除了可以借助 Cloudreve 进行文件名全盘搜索之外，还可以为它们设置不同的标签，比如“工作”、“学习”、“电影”、“常用”，或者更细化到“XX 项目”、“待处理”等。这样在查找文档时，效率就高很多了！

使用标签来管理文件的好处非常多，比如 Mac 系统本身就内置了这样的功能，Windows 下也有「tagLyst」等工具可以帮你给文件加标签。

支持离线下载

Cloudreve 网盘可以对接 Aria2 下载工具作为“离线下载”服务，在服务器上安装好 Aria2 并正确配置好后，用户即可在 Cloudreve 里加入 BT 磁力链、HTTP、种子下载任务，由服务端下载完成后放入到用户的网盘文件夹中去。

当然，这个离线下载的速度会受到服务器本身的带宽所限，也没有其他专业 BT 离线下载服务的“秒杀”能力，不过即便不用来下载体积巨大的 BT 文件，个人觉得用来下载一些 HTTP 的文件存到服务器上去，还是十分方便的！不仅不需要你电脑中转，甚至很多时候还能帮你中转，把你访问缓慢的文件轻松下载回来。

支持多用户

Cloudreve 支持多用户、多权限设置，用户可分组管理，不同用户组可分配不同限制策略，可以限制空间配额；可限制单文件最大大小、文件类型、文件后缀、用户可用容量等；而且帐号支持「二步验证」，可以更进一步保证安全性。

你可以在后台控制面板里面查看网盘的各种状态，用户/文件数量，并且进行各种设置等。

️ 支持本机、从机作为存储端，也能接入腾讯云 COS、阿里云 OSS、七牛、又拍云、OneDrive (包括世纪互联版) 等第三方云存储服务

上传/下载 支持客户端直传，支持下载限速

可对接 Aria2 实现离线下载

在线 压缩/解压缩、多文件打包下载

覆盖全部存储策略的 WebDAV 协议支持

拖拽上传、目录上传、流式上传处理

️ 文件拖拽管理

‍‍ 多用户、用户组

创建文件、目录的分享链接，可设定自动过期

️‍️ 支持视频、图像、音频、文本、Office 文档、PDF 在线预览

移动端全站响应式布局，自定义配色、黑暗模式、PWA 应用、全站单页应用

All-In-One 打包，开箱即用

编译好的 Go 程序大概可以看做是一款“绿色软件”，你只需下载与你的 VPS 主机对应的版本，即可部署使用。以最常见的 Linux 系统 64 位的服务器为例，我们下载“linux_amd64”后缀的文件即可。

这样启动后，你就能通过 http://服务器IP:端口 来访问你的 Cloudreve 网盘了。默认的端口号为 5212，如果你使用的腾讯云或阿里云，记得要在“安全组”和防火土啬放行此端口才行。进入之后即可进行更多详细的配置了，比如绑定自己的域名，配置开机启动等等，这些都可以参考官网的文档来进行设置。

而 Cloudreve 最大的特色是后端可对接国内的云平台 (阿里云、腾讯云等) ，支持多用户，而且 Go 语言的程序就像“绿色软件”一样易用，架设的难度不高，有一点点 Linux使用基础，比如会搭网站基本能搞定它了。而且 Cloudreve 在 GitHub 上有近 5 千多 Star，更新一直都很活跃，项目看来真的很不错，给人的感觉就是轻量、实用！个人、公司或团队使用都不错。

Cloudreve 网盘程序开源而且免费，它基于 Go 语言构建，性能好而且对系统要求低，兼容性强，基本在任意的 Linux 或 Windows 服务器上都能轻松快速搭建起来使用。

而且如果你的服务器硬盘空间不多，你还能接入其他第三方的公有云存储平台，文件的安全性和灵活性也更有保证。再加上 WebDAV 协议的支持，使得 Cloudreve 的实用性非常高！如果你拥有自己的服务器，并希望架设一个公私兼备的网盘，那么 Cloudreve 值得一试。