亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

摘要

這篇文章主要進(jìn)行了一項(xiàng)關(guān)于惡意APP盈利方式的研究。這批惡意應(yīng)用看似是一些約會(huì)類型應(yīng)用，但實(shí)際上這些約會(huì)應(yīng)用唯一的目的是就讓消費(fèi)者購(gòu)買VIP服務(wù)來(lái)和其他用戶交流，而這些“其他用戶”很有可能是一些仿冒女性的虛假用戶。這些惡意的約會(huì)類軟件可以被稱作虛假交友軟件。這篇論文系統(tǒng)地研究了這些虛假交友軟件，其中我們通過(guò)軟件內(nèi)的現(xiàn)有賬戶信息對(duì)軟件的行為特征進(jìn)行了分析。通過(guò)分析我們發(fā)現(xiàn)這些惡意聊天軟件內(nèi)的賬戶大多數(shù)并不是真人，而是通過(guò)預(yù)設(shè)信息設(shè)定好的聊天機(jī)器人。同時(shí)我們也分析研究了這種軟件的商業(yè)運(yùn)作模型，發(fā)現(xiàn)有諸多參與方均與整套產(chǎn)業(yè)鏈有瓜葛，包括：惡意軟件開發(fā)者、發(fā)布應(yīng)用程序以獲取利潤(rùn)的出版商以及負(fù)責(zé)向終端用戶分發(fā)應(yīng)用程序的分銷網(wǎng)絡(luò)。這篇文章首次系統(tǒng)地研究了欺詐性約會(huì)軟件，研究結(jié)果表明目前急需一種保護(hù)普通消費(fèi)者的解決方案。

 

1 介紹

近些年來(lái)，移動(dòng)端惡意軟件正在迅速成為全球性的嚴(yán)重威脅，巨大的非法收益刺激惡意攻擊者們開發(fā)了許多惡意軟件。過(guò)往研究表明，惡意攻擊者可以通過(guò)在純凈應(yīng)用程序中插入廣告或通過(guò)向premiumrate號(hào)碼發(fā)送短信來(lái)獲取利潤(rùn)。但隨著最新Android版本中新防御系統(tǒng)的部署，以上這些方法的效益逐漸降低。同時(shí)，我們發(fā)現(xiàn)了惡意攻擊者新的盈利方式：消費(fèi)者被誘導(dǎo)安裝一種特殊類型的約會(huì)應(yīng)用，消費(fèi)者只有支付一些費(fèi)用才能與軟件中的用戶聊天，而那些軟件中的“其他用戶”通常都是聊天機(jī)器人，這種特殊類型的約會(huì)應(yīng)用實(shí)際上就是約會(huì)欺詐應(yīng)用。

這些虛假約會(huì)應(yīng)用通常會(huì)通過(guò)廣告進(jìn)行分發(fā)，這些廣告會(huì)展示誘人的圖片或者虛假的說(shuō)明來(lái)誘惑用戶安裝。一旦用戶安裝上了這些軟件，軟件就會(huì)需要用戶進(jìn)行注冊(cè)。通過(guò)對(duì)應(yīng)用進(jìn)行分析，我們發(fā)現(xiàn)這些應(yīng)用的注冊(cè)方式都十分簡(jiǎn)便，不用提供個(gè)人信息（諸如郵箱或手機(jī)號(hào)）就能簡(jiǎn)單注冊(cè)這些應(yīng)用，這與以往的竊取用戶隱私的傳統(tǒng)作惡方式大有不同。

在用戶注冊(cè)登錄后，許多（女性）用戶會(huì)在幾分鐘內(nèi)發(fā)起包括圖片或者誘人話語(yǔ)的會(huì)話請(qǐng)求。比如，在我們研究中的一個(gè)APP里，在登錄軟件五分鐘內(nèi)（如下圖），就收到了7個(gè)會(huì)話請(qǐng)求，這些發(fā)來(lái)會(huì)話請(qǐng)求的人頭像都是漂亮的小姐姐，這些小姐姐頭像的用戶里有兩個(gè)在同一時(shí)間（8:29）里發(fā)出了同樣的信息“你老家哪的？”

鑒于這種異常的用戶行為，我們懷疑這個(gè)應(yīng)用程序里的賬戶不是真人，而是聊天機(jī)器人。為了證實(shí)這個(gè)猜測(cè)，我們向一個(gè)用戶（昵稱：美麗的鏡子）發(fā)送了與原會(huì)話無(wú)關(guān)的其他內(nèi)容，有意思的是只有這一條信息可以免費(fèi)發(fā)，后面的不能再免費(fèi)了（如下圖）。

如果想繼續(xù)交流，就得購(gòu)買包月寫信服務(wù)，這個(gè)包月服務(wù)大概五十多塊錢（如圖3）。我們購(gòu)買了包月服務(wù)以后，原來(lái)交流過(guò)的用戶就不再吭聲了，我們也沒有收到更多其他用戶發(fā)起的會(huì)話了。

有約會(huì)欺詐現(xiàn)象的軟件絕非個(gè)例，這種軟件的運(yùn)作有著一整套地下產(chǎn)業(yè)鏈。如果一個(gè)約會(huì)軟件有以下幾個(gè)特征，那它就可以被認(rèn)作為約會(huì)欺詐軟件：

一、異常的用戶行為：新用戶注冊(cè)后，幾分鐘內(nèi)就可以收到數(shù)條會(huì)話信息；
二、異常的信息內(nèi)容：收到的信息大多數(shù)上下文無(wú)關(guān)且不知所云；
三、增值費(fèi)用：新用戶只能免費(fèi)發(fā)一條或幾條信息，之后就需購(gòu)買其他增值服務(wù)才能繼續(xù)聊天。而且一旦購(gòu)買增值服務(wù)后，受害者就不會(huì)再收到其他會(huì)話信息了。

在這篇文章中，我們系統(tǒng)的研究了這種應(yīng)用程序：包括用戶畫像和行為模式、業(yè)務(wù)模型和產(chǎn)業(yè)鏈相關(guān)方，以及這些應(yīng)用程序?qū)κ芎φ叩挠绊懞头植记闆r。我們的研究圍繞著這幾個(gè)問題：虛假約會(huì)軟件中的其他用戶是真人還是聊天機(jī)器人？虛假約會(huì)軟件的產(chǎn)業(yè)鏈?zhǔn)窃趺礃拥?？有哪些人員參與了產(chǎn)業(yè)鏈？虛假約會(huì)軟件是怎么分發(fā)的？為了進(jìn)行這項(xiàng)研究，我們從9個(gè)安卓應(yīng)用市場(chǎng)和Google play中下載了250萬(wàn)個(gè)應(yīng)用程序，并且檢測(cè)到了967個(gè)不同的約會(huì)詐騙程序，并且根據(jù)代碼相似性，我們將其分為了22個(gè)家族，通過(guò)分析，我們發(fā)現(xiàn)了如下現(xiàn)象：

一、這些虛假約會(huì)軟件中的“其他用戶”大多數(shù)都是機(jī)器人，他們的用戶資料和頭像都是假的。例如，同一應(yīng)用程序中的多個(gè)不同帳戶使用同一個(gè)用戶配置文件，甚至不同的應(yīng)用程序中也使用了同樣的用戶資料。

二、產(chǎn)業(yè)鏈涉及多方，包括應(yīng)用程序生產(chǎn)商、應(yīng)用程序發(fā)行商和分銷網(wǎng)絡(luò)。例如，不同軟件包名的虛假約會(huì)軟件都用了同一個(gè)開發(fā)者簽名，并由具有相同法定代表人的不同公司發(fā)布。

三、這些應(yīng)用程序通常通過(guò)應(yīng)用程序市場(chǎng)和廣告分發(fā)。同時(shí)還使用了欺詐性排名技術(shù)，例如使用虛假的用戶評(píng)論和評(píng)級(jí)來(lái)操縱應(yīng)用程序的排名（即推廣應(yīng)用程序的一種手段）。

四、我們根據(jù)幾份報(bào)告對(duì)我們檢測(cè)到的虛假約會(huì)類軟件的總體收入進(jìn)行了估計(jì)。根據(jù)估計(jì)，市場(chǎng)總規(guī)模約為2億至20億美元。

研究相關(guān)應(yīng)用程序和實(shí)驗(yàn)結(jié)果見：https://github.com/fakedatingapp/fakedatingapp

 

2 約會(huì)欺詐應(yīng)用定性

2.1 約會(huì)欺詐應(yīng)用識(shí)別

2.1.1 數(shù)據(jù)集

下表為原始數(shù)據(jù)集情況，其中包含超過(guò)250萬(wàn)個(gè)應(yīng)用程序，這些應(yīng)用程序來(lái)自包括官方的googleplay商店在內(nèi)的十個(gè)應(yīng)用市場(chǎng)。這些應(yīng)用程序是在2017年四月到八月之間下載的，同時(shí)我們還爬取了這些應(yīng)用的包括應(yīng)用程序名稱、發(fā)行商公司名稱、應(yīng)用程序版本、評(píng)分、下載次數(shù)等。

2.1.2 實(shí)踐方法論

我們提出了一種半自動(dòng)的方法來(lái)識(shí)別約會(huì)欺詐應(yīng)用，如下圖所示。我們首先將數(shù)據(jù)庫(kù)中進(jìn)行關(guān)鍵字匹配（例如應(yīng)用描述和程序名）來(lái)篩選出候選應(yīng)用數(shù)據(jù)集。然后，我們對(duì)選定的候選應(yīng)用程序進(jìn)行靜態(tài)代碼分析來(lái)檢查它們是否嵌入了應(yīng)用程序購(gòu)買服務(wù)。

然后根據(jù)資源相似度和代碼相似度對(duì)它們進(jìn)行聚類。對(duì)于每個(gè)被聚類的集群中的應(yīng)用程序，我們還可以人工檢測(cè)它們是否具有可疑的特征，例如異常的用戶行為。此外，我們還分析了用戶的評(píng)論內(nèi)容，進(jìn)一步證實(shí)了在現(xiàn)實(shí)世界中存在這些應(yīng)用的受害者。

由于這些約會(huì)欺詐應(yīng)用通常會(huì)使用誘人的文本來(lái)吸引受害者，所以我們首先手動(dòng)總結(jié)了這些應(yīng)用的描述或應(yīng)用名稱中經(jīng)常出現(xiàn)的11個(gè)常用詞（秘密約會(huì)、本地單身、find girl、尋愛、約會(huì)邀請(qǐng)、相親、孤獨(dú)、打招呼、速配、就近約會(huì)、聊天）。然后使用一個(gè)快速的關(guān)鍵字匹配方法來(lái)識(shí)別出了潛在的約會(huì)應(yīng)用程序。最終，我們?cè)谀軌蛟?50萬(wàn)個(gè)應(yīng)用程序識(shí)別出至少包含兩個(gè)關(guān)鍵詞的應(yīng)用程序有61133個(gè)。

約會(huì)欺詐應(yīng)用最重要的特征之一是它們誘導(dǎo)用戶購(gòu)買其增值服務(wù)。對(duì)于候選數(shù)據(jù)集，我們會(huì)進(jìn)行靜態(tài)代碼分析以檢測(cè)它們是否包含嵌入式應(yīng)用內(nèi)購(gòu)買服務(wù)，如果包含，則會(huì)將它們標(biāo)識(shí)為進(jìn)一步的候選集合。

一般來(lái)說(shuō)，應(yīng)用實(shí)現(xiàn)應(yīng)用內(nèi)購(gòu)買功能有兩種方式。最流行的方法是嵌入應(yīng)用內(nèi)購(gòu)買SDK，另一種是自己實(shí)現(xiàn)支付功能（例如向premium number發(fā)送短信）。在本文中，我們將分別討論。

識(shí)別應(yīng)用SDK需要注意代碼混淆和SDK版本問題。由于從Google Play收取應(yīng)用和下載費(fèi)用的開發(fā)人員必須使用Google Plays支付系統(tǒng)（Google Play計(jì)費(fèi)API），因此我們可以通過(guò)檢查相應(yīng)的權(quán)限“com.android.vending.Billing”和相關(guān)API（如billingClient.launchBillingFlow）識(shí)別，而在一些沒有g(shù)oogleplay服務(wù)的國(guó)家或地區(qū)（如中國(guó)），應(yīng)用開發(fā)者傾向于使用第三方的應(yīng)用內(nèi)購(gòu)買服務(wù)。例如，阿里支付和微信支付是中國(guó)最流行的兩種第三方支付服務(wù)。在本文中，我們利用LibRadar這個(gè)工具來(lái)識(shí)別應(yīng)用程序中使用的第三方庫(kù)。我們?cè)u(píng)估了18種在中國(guó)和世界范圍內(nèi)廣泛使用的第三方支付SDK，如下表所示。此處我們不依賴簡(jiǎn)單的文本匹配，而是通過(guò)代碼比較來(lái)識(shí)別第三方支付SDK。LibRadar使用基于集群的方法標(biāo)記了這些第三方SDK的代碼特性，我們使用LibRadar來(lái)識(shí)別這些SDK，由于其具有模糊性，因此也可以用來(lái)識(shí)別不同的SDK版本。

由于有些應(yīng)用可以自己實(shí)現(xiàn)支付功能（如向premium number發(fā)送短信），因此我們?cè)诜淳幾g后的APK布局配置文件（如strings.xml）中確定了5個(gè)相關(guān)關(guān)鍵字（purchase & VIP, privi-lege, subscription service, unlimited chat, recharge account.）作為補(bǔ)充。在61133個(gè)數(shù)據(jù)備選中共篩選出23546個(gè)應(yīng)用包含支付功能。

對(duì)于嵌入支付功能的約會(huì)應(yīng)用程序，我們根據(jù)來(lái)源相似性和代碼相似度對(duì)其進(jìn)行聚類?？紤]到一個(gè)應(yīng)用程序（包名）對(duì)應(yīng)多個(gè)APK，所以爬取了四個(gè)月中的不同版本并根據(jù)包名刪除掉了重復(fù)的APK。

我們首先利用FSqua-DRA2來(lái)測(cè)量每個(gè)應(yīng)用程序?qū)Φ馁Y源相似性，然后使用應(yīng)用程序克隆檢測(cè)工具WuKong來(lái)測(cè)量代碼相似性。對(duì)于資源相似度得分高于90%和代碼相似度得分高于85%的應(yīng)用程序，我們將它們分組到同一個(gè)集群中。集群中數(shù)量從1到496不等。最后，我們選取數(shù)量大于等于2的集群作為進(jìn)一步的實(shí)驗(yàn)集。此批共選出5547個(gè)應(yīng)用程序（存在1824個(gè)唯一包名），這批應(yīng)用程序共分為了226個(gè)集群。

對(duì)于每個(gè)集群中的應(yīng)用程序，我們抽取了三個(gè)應(yīng)用程序（總共596個(gè)應(yīng)用程序）進(jìn)行查驗(yàn)。我們將其安裝在智能手機(jī)上，并且注冊(cè)了真實(shí)賬戶，檢查其是否具有異?；虿徽５挠脩粜袨?，盡管我們的注冊(cè)信息是空的或完全沒有吸引力的，依舊會(huì)有很多“其他”用戶向我們發(fā)起會(huì)話。通過(guò)人工檢查，我們最終將226個(gè)集群中的22個(gè)標(biāo)記為約會(huì)欺詐應(yīng)用。

2.1.3 欺詐性約會(huì)應(yīng)用統(tǒng)計(jì)

此次共統(tǒng)計(jì)出3697個(gè)欺詐約會(huì)應(yīng)用程序，這批apk有967個(gè)包名。這批應(yīng)用程序占約會(huì)應(yīng)用程序總集的6%，這比我們預(yù)期的要高得多。對(duì)于每個(gè)家族，我們將下載次數(shù)最多的包名中的關(guān)鍵字作為家族名。例如， Youyuan家族包含了最多的包名和APK包，大約三分之一的APK和超過(guò)一半的包都屬于這個(gè)家族。不同市場(chǎng)的欺詐約會(huì)應(yīng)用分布如下表所示。其中百度市場(chǎng)擁有最多的欺詐性約會(huì)應(yīng)用，有超過(guò)三分之二的欺詐交友應(yīng)用程序來(lái)自這個(gè)市場(chǎng)。官方的googleplay市場(chǎng)包含的FD應(yīng)用數(shù)量最少，只有7個(gè)應(yīng)用被標(biāo)記。

2.2 用戶配置文件分析

2.2.1 協(xié)議分析

從虛假約會(huì)應(yīng)用程序本身很難獲取到賬號(hào)配置文件，因此我們通過(guò)網(wǎng)絡(luò)流量跟蹤的方式來(lái)獲取用戶配置文件，我們?cè)诿總€(gè)家族中隨機(jī)選三個(gè)應(yīng)用程序并在真機(jī)上運(yùn)行，然后通過(guò)Tcpdump來(lái)記錄這些網(wǎng)絡(luò)流量，下表列出了每個(gè)家族中配置文件請(qǐng)求的服務(wù)器地址，文件下載地址和頭像下載地址。有意思的是，每個(gè)家族分析出來(lái)的三個(gè)程序共用同一個(gè)服務(wù)器地址，雖然它們有不同的包名或者開發(fā)人員簽名，仍表明他們屬于同一個(gè)家族，由同一群人掌控。

通過(guò)進(jìn)一步研究表明，網(wǎng)絡(luò)請(qǐng)求信息通常包含地里位置數(shù)據(jù)等信息、信息平臺(tái)、請(qǐng)求的用戶信息的數(shù)量等等，信息包含一個(gè)用戶列表里，其中每個(gè)用戶都由一個(gè)唯一標(biāo)識(shí)符表示，同在列表里的還有頭像文件的URL和一些其他的個(gè)人信息（昵稱年齡等等）

通過(guò)進(jìn)一步研究網(wǎng)絡(luò)請(qǐng)求和響應(yīng)消息，我們觀察到一些應(yīng)用程序，（例如youyuan家族里的com.hzsj.qmr1和come.wanjiang.tcyasq）， 在請(qǐng)求信息中嵌入指紋或包名來(lái)區(qū)分應(yīng)用程序，并且另外一些應(yīng)用程序 （例如同城速配家族中的com.yuanfenapp.tcyyjiaoyou和ltd.onedream.snsapp.moaiyueai）則完全共享了請(qǐng)求及回應(yīng)信息。

2.2.2 賬號(hào)爬取情況

我們通過(guò)構(gòu)造不同的請(qǐng)求信息以獲取響應(yīng)頁(yè)面，并通過(guò)URL回傳情況來(lái)識(shí)獲取到我們想要的信息。但是這些軟件也對(duì)應(yīng)存在一些反爬對(duì)抗，如“Youyuan”, “99Paoyuan”和 “Jucomic”。

由于被測(cè)試的應(yīng)用程序只顯示與我們?cè)谕粋€(gè)城市的用戶，所以的爬蟲程序配備了GPS模擬器，將我們的位置設(shè)置為中國(guó)的50個(gè)主要城市和美國(guó)的10個(gè)主要城市。并且利用了一個(gè)自動(dòng)化的UI測(cè)試工具DroidBot來(lái)生成UI下拉事件并發(fā)送到被測(cè)程序，用以模擬真實(shí)的用戶行為。以下是22個(gè)軟件的服務(wù)器地址情況：

2.2.3 假賬戶情況

我們認(rèn)為虛假約會(huì)程序中的假帳戶大多會(huì)使用偷來(lái)的或者網(wǎng)上的照片。為了識(shí)別這些假帳戶，我們把同一個(gè)應(yīng)用中擁有相同頭像照片但其他信息不同（如昵稱、家鄉(xiāng)、年齡等）的帳戶視為假帳戶。同時(shí)我們也設(shè)法排除了默認(rèn)的賬戶。

為了應(yīng)對(duì)頭像圖像的剪輯和分辨率調(diào)整等簡(jiǎn)單圖像處理情況，我們首先使用python圖像處理庫(kù)PIL對(duì)圖像進(jìn)行限制和縮放，然后再使用DupDetector來(lái)識(shí)別頭像中的重復(fù)圖像閾值為95%。如在youairen家族的中的com.jqyuehui.main的包名下，我們抓取了419352個(gè)帳戶配置文件。

如下圖所示，我們可以觀察到偽造帳戶可能存在于同一個(gè)應(yīng)用程序或家族中，但有的也跨了不同的家族。通過(guò)較為保守策略的檢測(cè)，每個(gè)APP中假帳戶配置文件的百分比并不高，只有三個(gè)應(yīng)用程序超過(guò)10%，大多數(shù)的應(yīng)用程序只有不到1%的假賬戶資料。

2.3 交互方式分析

若想從交互方式角度識(shí)別虛假賬戶，則可認(rèn)為如果賬戶是真人，談話信息應(yīng)該與主題相關(guān)。在每個(gè)家族中我們都隨機(jī)選擇一個(gè)應(yīng)用程序并安裝在真機(jī)設(shè)備上，并且注冊(cè)兩個(gè)賬戶（一個(gè)是男性用戶，一個(gè)是女性用戶），隨機(jī)登錄并開始對(duì)話。此外，我們還購(gòu)買了付費(fèi)服務(wù)并比較了購(gòu)買服務(wù)前后的結(jié)果。如下表所示：

（1）這些軟件的注冊(cè)過(guò)程相當(dāng)簡(jiǎn)單，大多數(shù)應(yīng)用程序不需要任何個(gè)人信息 ，22個(gè)應(yīng)用中只有四個(gè)應(yīng)用程序需要電話號(hào)碼或者電子郵件賬號(hào)
（2）一些應(yīng)用程序的對(duì)話充滿了模板套路， 22個(gè)應(yīng)用中有3個(gè)應(yīng)用程序使用基于模板的對(duì)話，這些模板可以在應(yīng)用程序的資源文件中找到
（3）男性注冊(cè)用戶和女性注冊(cè)用戶在使用方面存在巨大差別。對(duì)于男性用戶來(lái)說(shuō)，他們一上線就會(huì)有多女性賬戶在短時(shí)間內(nèi)聯(lián)系到他們。而對(duì)于注冊(cè)信息為女性的用戶來(lái)說(shuō)來(lái)說(shuō)，幾乎沒有收到任何信息。這表明這些應(yīng)用主要針對(duì)男性用戶。
（4）超過(guò)70%的應(yīng)用程序需要購(gòu)買高級(jí)服務(wù)，否則用戶無(wú)法回復(fù)信息。對(duì)于剩下的6個(gè)應(yīng)用程序，用戶最多只能發(fā)三條信息。
（5）對(duì)話過(guò)程中的交談信息多與話題完全無(wú)關(guān)。在購(gòu)買增值服務(wù)之前，我們只能在6個(gè)應(yīng)用程序中發(fā)送消息，而這些應(yīng)用程序中只有4個(gè)帳戶回復(fù)了我們，而且回復(fù)信息完全驢頭不對(duì)馬嘴。
（6）購(gòu)買了增值服務(wù)后，應(yīng)用程序就不再回應(yīng)任何信息。我們花了176美元為這22個(gè)應(yīng)用程序購(gòu)買了增值服務(wù)。一旦我們購(gòu)買服務(wù)，所有的應(yīng)用程序都停止回復(fù)我們的消息。這些應(yīng)用程序的唯一任務(wù)就是吸引用戶購(gòu)買所謂的增值服務(wù)，而實(shí)際上這種服務(wù)沒有任何用處。

2.4 總結(jié)

通過(guò)分析我們認(rèn)為，這些應(yīng)用中除了受害人以外其他人都不是真人。首先，同一家族中不同應(yīng)用程序中的帳戶配置文件大多是相同的，這些帳戶配置文件可以自動(dòng)生成。其次，應(yīng)用程序會(huì)話中的消息與主題無(wú)關(guān)，并且在購(gòu)買增值服務(wù)后就再不會(huì)收到任何消息。所以這些模式可以說(shuō)明這些“其他用戶”是由計(jì)算機(jī)程序生成的，而不是真實(shí)的人。

 

3 商業(yè)模式分析

如果兩個(gè)不同應(yīng)用的簽名相同，我們就假設(shè)這兩個(gè)應(yīng)用是由同一個(gè)開發(fā)者開發(fā)的。隨即我們從應(yīng)用市場(chǎng)收集已發(fā)布APP對(duì)應(yīng)的公司名稱。并且我們還根據(jù)相應(yīng)政府機(jī)構(gòu)的公開記錄，收集到了公司法定代表人的姓名，這些應(yīng)用程序發(fā)布者可以從受害者處獲益。下表展示了相關(guān)方的一些數(shù)據(jù)，第一列為家族名，第二列為家族中的包名數(shù)量，第三列家族中開發(fā)者簽名數(shù)量，而最后兩列顯示不同公司名稱和公司法律代表的數(shù)量。由于同一人可以擔(dān)任多家公司的法定代表人，因此法定代表人的數(shù)量小于或等于公司的數(shù)量。

一、開發(fā)人員簽名的數(shù)量通常比包名的數(shù)量要多。這表明，不同應(yīng)用程序的開發(fā)者可能是同一個(gè)人。我們還發(fā)現(xiàn)，即使某些應(yīng)用程序的開發(fā)人員簽名不同，這些應(yīng)用程序的META-INF目錄中的RSA文件的名稱也是相同的。

二、同一家族的應(yīng)用程序由多家公司發(fā)布。這可以解釋為生產(chǎn)商可能會(huì)將他們的應(yīng)用程序出售給不同的公司進(jìn)行發(fā)布。例如在如下代碼片段中開發(fā)人員硬編碼了包名稱和用于接收受害者付款的付款帳戶之間的關(guān)系，這樣應(yīng)用程序生產(chǎn)商就可以向不同的公司銷售同一個(gè)應(yīng)用程序的不同包名。

三、由于一個(gè)法定代表人可以擁有多個(gè)公司，所以這些應(yīng)用程序就可以通過(guò)不同的公司多次發(fā)布。如果一家公司的應(yīng)用程序因?yàn)橛脩敉对V而而從應(yīng)用市場(chǎng)下架，那么其他公司下的應(yīng)用程序仍然可以存續(xù)。

下圖簡(jiǎn)述了運(yùn)作的商業(yè)模式情況。具體來(lái)說(shuō)，應(yīng)用程序生產(chǎn)者開發(fā)應(yīng)用程序并將其出售給出版商。出版商通常注冊(cè)多家公司，并使用這些公司來(lái)分發(fā)他們的應(yīng)用程序，例如通過(guò)應(yīng)用商店等。為了推廣這些應(yīng)用，他們也會(huì)使用排名欺詐使用技術(shù)來(lái)提高這些應(yīng)用的推薦排名。此外，發(fā)布者還可以向廣告網(wǎng)絡(luò)付費(fèi)，以分發(fā)他們的應(yīng)用程序。當(dāng)受害者被騙安裝這些應(yīng)用程序并購(gòu)買增值服務(wù)時(shí)，出版商將獲得收益。在某些情況下，制作者和出版商可能來(lái)自同一家公司，但在產(chǎn)業(yè)鏈中扮演兩個(gè)角色。

 

4 結(jié)論

本文對(duì)欺騙性約會(huì)應(yīng)用進(jìn)行了系統(tǒng)的研究，包括其特點(diǎn)、商業(yè)模式、分銷網(wǎng)絡(luò)進(jìn)行了分析。由于當(dāng)前的反病毒引擎大多無(wú)法檢測(cè)到相關(guān)應(yīng)用程序，我們認(rèn)為應(yīng)該提出一個(gè)解決方案來(lái)檢測(cè)和阻止這些應(yīng)用的分發(fā)以保護(hù)用戶權(quán)益不受損害。

來(lái)源：安全客