移動平臺流量黑產(chǎn)研究——流量作弊與流量泡沫

360烽火實驗室檢測到兩個非色情視頻類樣本觸發(fā)的域名進(jìn)入了每日域名TOP排行的前三，而前三名的域名一般情況下被色情視頻類樣本觸發(fā)的域名占據(jù)。

分字段的啟發(fā)式關(guān)聯(lián)分析顯示，在忽略大小寫的情況下，這兩個域名（yirenna.com與pconline.com.cn）所屬的完整URL之間存在兩個相互交叉或共同的字段。

生成這組異常流量的樣本具備明顯的盜版標(biāo)識：雖然圖標(biāo)和軟件名稱與對應(yīng)的正版軟件一致，但是其包名和證書表現(xiàn)出一眼就能被識別為盜版的特征。

樣本誘導(dǎo)用戶安裝同名稱正版應(yīng)用，并通過隱藏圖標(biāo)的方式隱藏自身的存在，而由于木馬的包名與正版應(yīng)用不同，木馬本身并不會因為更新行為而被正版應(yīng)用替換掉，且可以繼續(xù)長期潛伏。

在靜態(tài)分析的過程中，我們發(fā)現(xiàn)該批樣本的流量作弊行為，該行為與我們2015年發(fā)現(xiàn)的“流量僵尸”如出一轍，但在具體的作弊內(nèi)容上卻表現(xiàn)得更加豐富。

通過提取上千的刷量鏈接，并使用交叉字段分析技術(shù)，我們成功地提取出相關(guān)渠道的標(biāo)識——“ff_hongtuxinda_12”。

提取渠道標(biāo)識的主體部分，并輸入Google進(jìn)行查詢，我們找到了該渠道的相關(guān)信息。

樣本出現(xiàn)的時間是2016年1月，自2016年1月到2016年7月之間樣本總數(shù)整體維持在個位數(shù)水平，推測這段時間是木馬作者的測試期。

從2016年7月開始，樣本數(shù)量呈現(xiàn)穩(wěn)步上升的趨勢，感染樣本總數(shù)已達(dá)到3.8萬，并呈現(xiàn)出進(jìn)一步的上升趨勢。

從2017年4月11號到2017年4月17號作弊樣本感染用戶的次數(shù)正逐步降低，這表明我們的查殺正在遏制樣本的傳播。盡管如此，作弊樣本最近一周感染用戶的總次數(shù)依然達(dá)到了6.4萬次。

該批樣本的刷量頻率硬編碼在代碼之中，每隔30秒的時間便會執(zhí)行一次刷量行為。

每30秒完成一次刷量行為，據(jù)此每個受害用戶的手機(jī)每天能產(chǎn)生2880次虛假訪問，最近一周產(chǎn)生的虛假訪問總數(shù)為1.8億次。按照每千次10元到20元的收費(fèi)標(biāo)準(zhǔn)，最近一周能為該渠道創(chuàng)造185萬元的收入。

通過分析服務(wù)器返回的作弊內(nèi)容，我們發(fā)現(xiàn)主要包含四個方面：廣告展示（實際觸發(fā)的過程中包含模擬點擊）、搜索關(guān)鍵字、搜索主頁與新聞主頁。

統(tǒng)計搜索關(guān)鍵詞，出現(xiàn)頻率最高的為網(wǎng)絡(luò)資源類的關(guān)鍵詞，占比33%，主要包括一些軟件資源、視頻資源和學(xué)習(xí)資料等，這也是網(wǎng)民日常上網(wǎng)行為中搜索最多的關(guān)鍵詞。

一組異常的流量曲線表明其對應(yīng)的網(wǎng)站“訪客”受到了同一個控制中心的統(tǒng)一操縱，即存在著由同一個團(tuán)伙執(zhí)行的流量作弊行為。

除了流量作弊外，該樣本還會搜集用戶手機(jī)的WiFi信息，破解WiFi密碼，并將所有這些信息上傳至指定服務(wù)器。

360烽火實驗室對流量黑產(chǎn)的研究主要集中在移動平臺和廣告聯(lián)盟（AdNetwork）的交叉范疇。

2016年上半年移動平臺的流量泡沫比例為19.80%，PC平臺的流量泡沫比例為35.16%，PC平臺的流量泡沫比例暫時高于移動平臺。但是隨著黑產(chǎn)從業(yè)者向移動平臺的逐步遷徙，以及日益增長的移動設(shè)備數(shù)量的影響，移動平臺的流量泡沫比例將逐步攀升。

研究2016年全年無效流量分布，發(fā)現(xiàn)無效流量在2016年12月份達(dá)到了38.70%的峰值，最低比例出現(xiàn)在10月份，但是依然達(dá)到了22.30%。無效流量的規(guī)模如此之大，反映出互聯(lián)網(wǎng)流量存在嚴(yán)重的泡沫，以及可能廣泛存在的肆無忌憚的流量作弊行為。

研究2014年到2016年分媒體類型點擊異常趨勢，我們注意到廣告聯(lián)盟的點擊趨勢自2015年起出現(xiàn)了一個近乎“直線拉升”式的增長，這種現(xiàn)象與我們的研究結(jié)果基本一致。

廣告聯(lián)盟的一般反作弊策略主要從點擊、IP地址、來源、時間順序、ALEXA數(shù)據(jù)等維度進(jìn)行監(jiān)控。當(dāng)作弊行為轉(zhuǎn)移到移動平臺之后，上面的很多策略都將失效。

360烽火實驗室的異常流量監(jiān)測系統(tǒng)目前主要包含了如下五大功能模塊：流量分布分析模塊、TOP域名監(jiān)測模塊、啟發(fā)式關(guān)聯(lián)分析模塊、產(chǎn)品聯(lián)動分析模塊以及樣本聯(lián)動分析模塊。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。