借贷软件变脸绕过应用市场审核

 

发现“变脸”应用

一、背景

近日,360烽火实验室接到一例反馈:用户描述从某应用市场下载了一个记事本应用, 经过一段时间的使用后发现该应用内容变成与贷款相关。

图1-1 初次使用时的软件内容

图1-2 经过一段时间之后的软件内容

随即我们根据用户反馈的内容进行快速跟进,发现该应用具有随机变换界面的功能,且变换后的应用功能已与原应用无关,因此将此应用称为“变脸”应用。

二、应用分类及上架平台

截止到2019年6月,360烽火实验室共发现“变脸”应用5400+余款,其中约10%的应用以工具类软件当“外衣”,“变脸”后变成投资理财或贷款类应用;约90%的应用为投资理财或贷款类应用,“变脸”只是更换一种理财或贷款产品,应用类型并没有改变。

图1-3 “变脸”应用类型分布情况

360烽火实验室在跟踪“变脸”应用的过程中发现,“变脸”应用在多个国内主流移动应用市场均有上架且广受好评,部分应用好评率达到95%,而且大部分应用的评论与应用功能介绍不符。

以一款名为“小猪白卡(手机)”的应用为例,该应用的介绍称其“为用户提供一键检测、智能估价、快速放款、安全可靠的专业回收服务。”在该应用的评论区可以看到近乎满分的打分和97%的好评率。而且评论内容中随处可见“贷款”、“借钱”的字样,评论内容和软件自身介绍的手机回收服务没有任何关系。这款软件实际运行后可发现内容充斥着大量网络借贷软件的推广。

图1-4 软件介绍与实际运行内容不符

 

解析“变脸”过程

一、“变脸”行为流程概述

图2-1 “变脸”行为示意图

二、软件行为分析

“变脸”应用首先会进行网络判断,在有网络连接的情况下访问服务器以获取“脸谱”指令,根据具体指令进行“脸谱”展示。

图2-2 判断网络连接

图2-3 访问服务器获取指令

“变脸”应用获取的指令格式为{“status”:指令},当指令为“before”时,对应的代码内容及页面展示为:

图2-4 指令为“before”时对应代码内容

图2-5 指令为“before”时对应页面展示

当指令为“after”时,对应的代码内容及页面展示为:

图2-6 指令为“after”时对应代码内容

图2-7 指令为“after”时对应页面展示

当指令为“secondH5”时,应用访问服务器获取HTML5链接地址,利用WebView进行加载。

图2-8 指令为“secondH5”对应代码内容

图2-9 访问服务器获取HTML5地址并加载

图2-10 指令为“secondH5”时对应页面展示

 “变脸”应用如果接收到的指令为“secondH5”,展示的内容则是HTML5页面。HTML5地址在访问服务器后返回的数据中,该数据由服务器使用者控制,具有不确定性。在分析“变脸”应用的过程中,我们实现将服务器返回的HTML5地址进行修改,替换成如下图所示内容。因“变脸”应用可能加载任意HTML5页面,用户使用过程中的风险性也就增加。

图2-11 HTML5地址替换

 

剖析“脸谱”线索

根据合作厂商提供的资料,北京某科技发展有限公司曾申请上架“变脸”应用。利用该公司名称查询到官网地址等信息。

图3-1 北京某科技发展有限公司信息

根据公司官网地址进行whois查询到联系邮箱等信息。

图3-2 whois查询

通过联系人邮箱进行whois反查,关联到七个公司。

图3-3 联系人邮箱whois反查

不难看出这些公司注册的域名与贷款和钱包有关系,同时我们也追踪到,上述七个公司上架国内移动应用市场的应用包含贷款类、投资理财类,并且是“变脸”应用。

与贷款类、投资理财类应用相比,工具类应用更容易上架移动应用市场,他们利用这点优势以工具类应用名称做伪装,以达到顺利上架移动应用市场的目的,经过“变脸”后,变成贷款类、投资理财类应用。

2019年1月,360烽火实验室发布了一篇《移动平台新型诈骗解析》的文章,简述了在传统恶意应用难以获利的环境下,利用赌博、伪贷、投资理财等手段的获利模式逐步显现。这些应用从实际功能看并无恶意行为,但是它们利用法律漏洞和用户需求,能在短期内获取高额利润。目前,新的检测手段还未成熟,需要消耗更高的人工成本,体现更多的是软件审核工作者和恶意应用开发者的较量。

(完)