手游黑客产业链大起底:每月纯利150万元
2014-03-28 16:26

[i=s] 本帖最后由 i黑马TMT 于 2014-3-28 16:27 编辑 [/i]   无论是传统网络游戏,还是现在的手游,i黑马发现很多黑客都把游戏领域当成自己的“主要收入来源”。本文来自《游戏葡萄》,揭秘了游戏黑客的产业链。

  在中国手游市场,除了获取用户继而变现这条路径,一条非常隐秘的地下产业链也在暗自发展。
  有的中国公司,钻营应用商店的结算漏洞;有的手游企业,被盗版、现金流被盗用都不知情。有报告称,网银与网络游戏账号已经成为地下黑市青睐的主要对象,同时,攻击的目标也投向了用户量庞大的手机网游。
  近日在一场UCloud联合主办的游戏开发者沙龙上,赛博龙工程师张世会与UCloud技术大拿探讨了“黑客地下产业链中的手机游戏”这一话题。
  Android平台,由于其开放性,黑客采用多种方式,一般是通过所谓破解版App来将恶意代码加入程序,盗取用户设备中的信息,再进一步盗取用户财产。
  iOS方面,由于苹果系统相对封闭,App Store里的欺骗行为更多体现在汇率漏洞与黑卡上。
  接下来结合张世会与UCloud工程师以及其他安全界朋友的说法,介绍两种系统中黑客是如何操作,希望开发者们有所警戒。
  Android:通过破解版程序
  这张图可以简单说明。

  首先,黑客与非法SP会下载apk安装包,将其反编译,加入恶意代码文件,再将游戏重新打包生成新的运行程序。一般来说,加入恶意代码的新运行程序会比原程序更占据磁盘空间。
  然后,黑客会将加入恶意代码的App换一个更有吸引力的名字,比如说将monkey jump改为monkey jump free,引诱用户下载。一般情况下由恶意代码编写的程序会优先于原程序运行,同时获取用户的各种本地权限。
  葡萄君以二次打包植入广告为例,黑客们首先寻找热门游戏、知名软件,通过反编译,在软件中插入恶意代码,然后由“打包党”负责大批量二次打包app,再在第三方应用市场,各大论坛分发,由用户下载。“打包党”们利用消费者追捧热门应用的心里、加上普通人难以区分正版盗版,以及应用市场安全监管能力的不足,令恶意广告和病毒木马顺利进入用户手机中。
  这一切都是在用户完全不知情的情况下发生。一旦恶意代码程序运行并获取了权限,黑客就可以对用户的手机进行远程操控。
  远程操控的方式分为用户可见及不可见两种,像是远程操控拨自动拨打电话,更改壁纸等都是用户显而易见的,容易引起用户怀疑,黑客一般会采用一些更隐蔽的操控,比如说自动下载收费程序。
  在这种攻击方式的驱动下,移动App领域已经形成了许多灰色产业链,比如说SP增值服务扣费,二次打包植入广告,移动僵尸网络,篡改数据等。

  SP扣费,此类病毒每次进行小额支付(一次支付2-6元),还可以通过远程服务器指令来配置扣费与否和扣费区域(如北上广不收费、2,3线城市收费)。
  二次打包植入广告,在用户的手机中会以通知栏提醒、悬浮窗提醒、广告展示等多种形式诱导用户点击,同时还窃取用户的隐私信息并上传,或者在后台静默下载各种软件。通过用户点击广告、后台下载软件产生非法推广利益以后,黑客、打包党与非法广告渠道商进行收入分成。
  这种方式的特点是盈利模式见效非常快,有数据显示,一个10人左右的打包团队每个月的纯利润可以达到150万元。
  数据篡改,是黑客将软件内置的广告SDK被替换成应用商店自己的广告SDK,强行推送广告赚取广告费。或者加入恶意代码在后台偷偷下载APP,安装后自动删除,按照激活次数收取推广费。再或者替换应用支付系统,将收款方指向自己,或在登录系统中加入脚本窃取用户账户密码。
  移动僵尸网络,是黑客控制了用户手机以后:黑客发出指令利用手机为指定地址刷流量;向手机联系人发送黑客编辑的短信进行诈骗;利用Android系统漏洞感染网络中的其它手机;自动发送垃圾广告、短信……
  这些盗取方式,中招的CP甚至都很难维权。比如某成都80后开发者,游戏上线一周后被二次打包放进广告,由于未能提供某国内Android应用商店要求的软件著作权证书,无法要求盗版游戏下架。
  那么,如何防范?
  对于用户来说,下载App尽量选择信誉好的渠道,不要随意扫描二维码、点击来历不明的短信链接,安装App时注意其要求的权限。
  对开发者来说,应该从漏洞源出发,找到填补漏洞的方法,加以解决。
  1) 反编译漏洞
  反编译漏洞是指,黑客找到找到App的设计流程,进行盗版、篡改、恶意代码注入;对部分积分机制的APP进行破解,绕过程序的验证机制;通过暴露的URL对服务器进行恶意攻击。它的主要危害就是使App源码暴露,给黑客二次打包的机会。
  解决方法:代码混淆,代码加密。
  2)内存漏洞
  内存漏洞一般有以下几种表现:非静态内部类的静态实例容易造成内存泄漏,activity使用静态成员,使用handler时的内存问题等,内存漏洞一般会使恶意程序可以修改存储在手机上的数据。
  解决方法:对一些应用数值做打散处理。
  3)反调试漏洞
  反调试漏洞主要危害是当用户使用支付软件的时候,偷走用户的支付口令;当用户在使用发短信功能时,偷走短信记录。
  解决方法:底层加密保护、使用第三方安全加固。
  4)一些第三方安全加固
  第三方加固主要是说通过第三方平台对App进行加密。
  iOS:汇率漏洞与黑卡
  在iOS平台,葡萄君听闻一个案例,某手游产品每月账面销售额700万元,其中50万元黑卡耗损,100万元被汇率倒卖者攫取,剩下到帐550万元。
  黑卡漏洞主要是利用盗刷和黑卡低价代购App甚至Gift Card,这种方式早已存在。
  汇率漏洞,则是由于App Store自有的汇率折算系统,该汇率系统相对于国际汇率体系而言是固定不变的。

  最近一年因为诸多原因,部分国家(如南非)的货币对美元汇率波动巨大从而导致以下现象:一款中国区售价100元人民币的游戏(或内购物品),如果用这些汇率波动国家的货币进行支付,借助App Store汇率和实际汇率的差价折算后,实际仅需70元人民币。
  如此一来,就有人可以利用这一漏洞,以低折扣销售热门游戏的内购物品,最终导致游戏运营商和开发者蒙受损失。


—————————————————————————————————


  首先欢迎手游行业人士,加入i黑马手游行业QQ交流群(群号: 369837196),大家一起来学习和发现。
  2014年4月克莱斯勒黑马大赛手游行业赛将拉开大幕,全国项目报名火热进行中, 报名请猛戳此处,或者拿起手机拨打:18301308088 座机:400-6019698 前来报名,报名咨询QQ:543171896。
  你也可以关注黑马大赛官网及微信公众号:heimadasai,了解更多大赛动态和干货分享。