压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

聲明：本文中所有數(shù)據(jù)均來自于威脅獵人威脅情報(bào)中心，任何機(jī)構(gòu)和個(gè)人不得在未經(jīng)威脅獵人授權(quán)的情況下轉(zhuǎn)載本文或使用本文中的數(shù)據(jù)。

概述

美團(tuán)憑借資本和流量強(qiáng)勢入局網(wǎng)約車，滴滴被迫迎戰(zhàn)。近期也爆發(fā)了網(wǎng)約車新一輪的亂戰(zhàn)，交通運(yùn)輸部連發(fā)三文評(píng)論燒錢補(bǔ)貼一事。在網(wǎng)約車入局者為市場拼死戰(zhàn)斗的同時(shí)，另一群人興奮了——網(wǎng)約車黑灰產(chǎn)從業(yè)者。巨大的流量和資金補(bǔ)貼強(qiáng)有力的吸引著黑產(chǎn)的目光，利用模擬定位刷單，搶單軟件刷單，為不合規(guī)網(wǎng)約車代開賬戶，用著當(dāng)年滴滴快的大戰(zhàn)時(shí)的套路，他們輕車熟路的快速“上車”了，不知道已經(jīng)經(jīng)歷過一次考驗(yàn)的滴滴是否能更為從容應(yīng)對(duì)。

其中刷單用到的虛擬定位、虛擬行駛軟件，即為改機(jī)工具。改機(jī)工具是一種可以安裝在移動(dòng)端設(shè)備上的app，能夠修改包括手機(jī)型號(hào)、串碼、IMEI、GPS定位、MAC地址、無線名稱、手機(jī)號(hào)等在內(nèi)的設(shè)備信息，通過不斷刷新偽造設(shè)備指紋，可以達(dá)成欺騙廠商設(shè)備檢測的目的，使一部手機(jī)可以虛擬裂變?yōu)槎嗖渴謾C(jī)，極大地降低了黑灰產(chǎn)在移動(dòng)端設(shè)備上的成本。

本篇報(bào)告從一個(gè)實(shí)際測試的案例入手，為大家闡述改機(jī)工具在黑灰產(chǎn)攻擊中的一個(gè)應(yīng)用實(shí)例，后續(xù)會(huì)介紹改機(jī)工具當(dāng)前的市場情況，以及針對(duì)當(dāng)前市場占有率最高的改機(jī)工具iGrimace的細(xì)節(jié)分析。
目錄

一、改機(jī)工具應(yīng)用案例

二、改機(jī)工具市場現(xiàn)狀以及技術(shù)分析

1.改機(jī)工具應(yīng)用場景舉例

2.改機(jī)工具市場占比和功能對(duì)比

3.改機(jī)工具iGrimace細(xì)節(jié)分析

3.1 iGrimace工具基本信息

3.2 應(yīng)用場景

3.3 功能分析

3.3.1 iGrimace工具執(zhí)行流程

3.3.2 修改地理位置

3.3.3 偽造手機(jī)號(hào)

3.3.4 修改設(shè)備信息

三、總結(jié)

一、改機(jī)工具應(yīng)用案例

近兩年，短視頻行業(yè)發(fā)展得如火如荼，短視頻app已經(jīng)成為很多人手機(jī)里的必備app之一。短視頻行業(yè)繁榮的同時(shí)，巨大的真實(shí)用戶流量也吸引了黑灰產(chǎn)從業(yè)者（尤其是引流行業(yè)）的注意力。作為資深“抖友”，獵人君利用抖音和改機(jī)工具復(fù)現(xiàn)了一次真實(shí)的引流。

引流：將真實(shí)用戶的流量從一個(gè)平臺(tái)引到另一個(gè)平臺(tái)上。

實(shí)驗(yàn)工具：

手機(jī)：華為Mate 7

系統(tǒng)：EMUI系統(tǒng)4.0（Android 6.0）

抖音app版本：v1.8.1

改機(jī)軟件：海魚魔器

獵人君利用改機(jī)軟件偽造位置抖音附近視頻的功能做引流，誘導(dǎo)附近看到視頻的人添加獵人君的微信小號(hào)。復(fù)現(xiàn)的過程很簡單，首先，獵人君利用改機(jī)軟件海魚魔器修改手機(jī)的定位信息如下：

為獲得更多的曝光量，獵人君專門挑選了一個(gè)一線城市廣州，定位到人流量較大的廣州火車站。百度地圖的定位也顯示位置修改成功：

其次，我們打開抖音，上傳我們“精心”制作的圖集視頻，并配上包含微信號(hào)的文字，添加地理位置時(shí)，順利定位到了廣州火車站。上傳好的視頻截圖如下：

視頻發(fā)出去之后，很快就有人上鉤，加了獵人君的微信小號(hào)：

至此，便完成一次簡單的引流操作。黑灰產(chǎn)從業(yè)者會(huì)通過自動(dòng)批量的操作，以及更高明的“文案”，在短時(shí)間，完成大量引流。如此例所示，通過美女視頻或圖片引流來的用戶在業(yè)內(nèi)中稱為“色粉”，大多為男性用戶，可被定向引流至銷售男性用品的微商，或被誘導(dǎo)發(fā)紅包觀看色情視頻，最終上當(dāng)受騙。

二、改機(jī)工具市場現(xiàn)場以及技術(shù)分析

隨著廠商的業(yè)務(wù)體系越來越龐大，各類優(yōu)惠活動(dòng)的次數(shù)相應(yīng)的也越發(fā)頻繁，尤其是一些有“新用戶”限制的活動(dòng)，導(dǎo)致黑灰產(chǎn)從業(yè)人員需要更多的新設(shè)備獲取利益，而改機(jī)工具可以解決黑灰產(chǎn)在移動(dòng)端的設(shè)備成本問題。

改機(jī)工具通過劫持系統(tǒng)函數(shù)，偽造模擬移動(dòng)端設(shè)備的設(shè)備信息（包括型號(hào)、串碼、IMEI、定位、MAC地址、無線名稱、手機(jī)號(hào)等），能夠欺騙廠商在設(shè)備指紋維度的檢測。改機(jī)工具會(huì)從系統(tǒng)層面劫持獲取設(shè)備基本信息的接口，廠商app只能得到偽造的假數(shù)據(jù)。

1

改機(jī)工具應(yīng)用場景舉例

常見應(yīng)用場景舉例：

批量注冊(cè)賬號(hào)：通常針對(duì)某一廠商，每一部手機(jī)能夠注冊(cè)的賬號(hào)數(shù)量是有限的，通過偽造新的設(shè)備指紋就可以達(dá)到單部手機(jī)的復(fù)用，進(jìn)而批量注冊(cè)賬號(hào)；

還原賬號(hào)關(guān)聯(lián)的設(shè)備信息：越來越多的廠商會(huì)對(duì)賬號(hào)的登錄地點(diǎn)、聯(lián)網(wǎng)狀態(tài)、設(shè)備標(biāo)識(shí)進(jìn)行檢測，以判斷是否是用戶的常用設(shè)備。黑灰產(chǎn)的應(yīng)對(duì)方式是將改機(jī)工具的備份數(shù)據(jù)連同賬號(hào)一起銷售，買家只要和賣家使用同一款改機(jī)工具，將數(shù)據(jù)導(dǎo)入就可以還原注冊(cè)時(shí)的場景，降低被封號(hào)的概率；

偽造數(shù)據(jù)：如通過虛擬定位參加有地點(diǎn)限制的活動(dòng)。

2

改機(jī)工具市場占比和功能占比

Android和iOS都有很多相應(yīng)的改機(jī)工具。Android改機(jī)大部分都基于Xposed框架，需要root；iOS大多基于Cydia框架，需要越獄。

當(dāng)前市場上常見的改機(jī)工具市場占比如下：

當(dāng)前市場上主流的針對(duì)Android系統(tǒng)的主流改機(jī)工具功能對(duì)比：

當(dāng)前市場上主流的針對(duì)iOS系統(tǒng)的主流改機(jī)

工具功能對(duì)比：

3

改機(jī)工具iGrimace細(xì)節(jié)分析

獵人君挑選市場占比最高的iGrimace（Android版）進(jìn)行進(jìn)一步分析。

3.1

iGrimace工具基本信息

3.2

應(yīng)用場景

可覆蓋大部分移動(dòng)領(lǐng)域：

金融類app：支付寶、京東金融等；

社交類app：微博、今日頭條等；

生活類app：餓了么、美團(tuán)、百度外賣等；

新聞?lì)恆pp：騰訊新聞、網(wǎng)易新聞等；

娛樂類app：騰訊視頻、搜狐視頻、鳳凰視頻等。

場景舉例：

注冊(cè)賬號(hào)領(lǐng)取新用戶紅包；

領(lǐng)取邀請(qǐng)新用戶福利紅包；

針對(duì)有地理限制的紅包領(lǐng)取機(jī)制，修改地理位置實(shí)現(xiàn)異地領(lǐng)取；

刷贊、刷分享、刷評(píng)分和刷榜。

3.3

功能分析

3.3.1

iGrimace工具執(zhí)行流程

3.3.2

修改地理位置

1）設(shè)置定位：

在方法：public void setLocationToHere(View view）處設(shè)置定位：

2）獲取指定位置：

在方法：public void getLocationData(double old_lat,double old_lng)獲取數(shù)據(jù):

3）具體原理：

a）通過LocationConverter.gcj02ToBd09獲取經(jīng)緯度（國測局坐標(biāo)轉(zhuǎn)百度坐標(biāo)）；

b）再利用高德地圖的接口：

this.mMapView.getMap().moveCamera設(shè)置獲取的經(jīng)緯度；

c）再使用getWifiData(double lng, double lat)根據(jù)經(jīng)緯度獲取WiFi數(shù)據(jù)；

d）通過URL請(qǐng)求：

WifiRequestUtils.getUrl(System.currentTimeMillis(),WifiApiUtils.caculateCheckString(body.get(“body”).toString()))獲取當(dāng)前位置是否有免費(fèi)WiFi：

e）再使用getCellLocation(double lng, double lat)確定當(dāng)前設(shè)置位置的基站運(yùn)營商信息，其內(nèi)部使用：

getApplicationContext().getSystemService(“phone”)).getSubscriberId().substring(0,5)獲取IMSI，根據(jù)IMSI判斷基站運(yùn)營商，比如編碼46007、46002為中國移動(dòng)，46001為中國聯(lián)通；

f）如果getWifiData和getCellLocation都獲取正常，接下來修改位置才會(huì)成功。

3.3.3

偽造手機(jī)號(hào)

1）偽造聯(lián)通、移動(dòng)手機(jī)號(hào)

在方法public void setOperatorInfo()偽造手機(jī)號(hào)：

2）具體原理

a）通過：

SettingsActivity.this.queryOperatorMnc獲取MNC；

b）根據(jù)MCC判斷基站運(yùn)營商信息，將其寫入SD卡根目錄下名為igrimace-operator.conf的配置文件中；

c）支持以下號(hào)段：

3.3.4

修改設(shè)備信息

1）修改電話信息、WiFi信息、傳感器、媒體和存儲(chǔ)、應(yīng)用模擬、系統(tǒng)設(shè)置模擬、自定義、自定義安卓版本在方法：

handleLoadPackage(LoadPackageParamlpparam)內(nèi)完成。

讀取配置文件：

利用Xposed注入：

開始hook：

2）具體原理：

a）讀取SD卡根目錄下的配置文件；

b）igrimace.conf保存需要被hook的app：

c）igrimace-operator.conf保存ICCID、運(yùn)營商、手機(jī)號(hào)、MNC、IMSI：

d）根據(jù)被讀取的配置文件，再利用Xposed注入和hook，向廠商app提交修改過的信息。

結(jié)語：

“上有政策，下有對(duì)策”，可以很形象地描述黑灰產(chǎn)和廠商之間的對(duì)抗。對(duì)于廠商推出的策略更新，黑灰產(chǎn)都能很快地將其突破。改機(jī)工具只是萬千攻防對(duì)抗實(shí)例中的一個(gè)，再結(jié)合群控類型的工具（通過一臺(tái)PC控制多臺(tái)移動(dòng)設(shè)備）的使用，可對(duì)廠商造成自動(dòng)化、批量化的攻擊壓力。對(duì)于廠商而言，面對(duì)黑灰產(chǎn)快速迭代的技術(shù)更新，只有做到對(duì)黑灰產(chǎn)最新動(dòng)態(tài)的及時(shí)發(fā)現(xiàn)和持續(xù)跟蹤，提升威脅感知能力和安全防御能力，才能在攻防對(duì)抗的過程中掌握更多的主動(dòng)權(quán)。

出處： https://www.anquanke.com/post/id/129780