移动平台流量黑产研究——流量作弊与流量泡沫

360烽火实验室检测到两个非色情视频类样本触发的域名进入了每日域名TOP排行的前三,而前三名的域名一般情况下被色情视频类样本触发的域名占据。

分字段的启发式关联分析显示,在忽略大小写的情况下,这两个域名(yirenna.com与pconline.com.cn)所属的完整URL之间存在两个相互交叉或共同的字段。

生成这组异常流量的样本具备明显的盗版标识:虽然图标和软件名称与对应的正版软件一致,但是其包名和证书表现出一眼就能被识别为盗版的特征。

样本诱导用户安装同名称正版应用,并通过隐藏图标的方式隐藏自身的存在,而由于木马的包名与正版应用不同,木马本身并不会因为更新行为而被正版应用替换掉,且可以继续长期潜伏。

在静态分析的过程中,我们发现该批样本的流量作弊行为,该行为与我们2015年发现的“流量僵尸”如出一辙,但在具体的作弊内容上却表现得更加丰富。

通过提取上千的刷量链接,并使用交叉字段分析技术,我们成功地提取出相关渠道的标识——“ff_hongtuxinda_12”。

提取渠道标识的主体部分,并输入Google进行查询,我们找到了该渠道的相关信息。

样本出现的时间是2016年1月,自2016年1月到2016年7月之间样本总数整体维持在个位数水平,推测这段时间是木马作者的测试期。

从2016年7月开始,样本数量呈现稳步上升的趋势,感染样本总数已达到3.8万,并呈现出进一步的上升趋势。

从2017年4月11号到2017年4月17号作弊样本感染用户的次数正逐步降低,这表明我们的查杀正在遏制样本的传播。尽管如此,作弊样本最近一周感染用户的总次数依然达到了6.4万次。

该批样本的刷量频率硬编码在代码之中,每隔30秒的时间便会执行一次刷量行为。

每30秒完成一次刷量行为,据此每个受害用户的手机每天能产生2880次虚假访问,最近一周产生的虚假访问总数为1.8亿次。按照每千次10元到20元的收费标准,最近一周能为该渠道创造185万元的收入。

通过分析服务器返回的作弊内容,我们发现主要包含四个方面:广告展示(实际触发的过程中包含模拟点击)、搜索关键字、搜索主页与新闻主页。

统计搜索关键词,出现频率最高的为网络资源类的关键词,占比33%,主要包括一些软件资源、视频资源和学习资料等,这也是网民日常上网行为中搜索最多的关键词。

一组异常的流量曲线表明其对应的网站“访客”受到了同一个控制中心的统一操纵,即存在着由同一个团伙执行的流量作弊行为。

除了流量作弊外,该样本还会搜集用户手机的WiFi信息,破解WiFi密码,并将所有这些信息上传至指定服务器。

360烽火实验室对流量黑产的研究主要集中在移动平台和广告联盟(AdNetwork)的交叉范畴。

2016年上半年移动平台的流量泡沫比例为19.80%,PC平台的流量泡沫比例为35.16%,PC平台的流量泡沫比例暂时高于移动平台。但是随着黑产从业者向移动平台的逐步迁徙,以及日益增长的移动设备数量的影响,移动平台的流量泡沫比例将逐步攀升。

研究2016年全年无效流量分布,发现无效流量在2016年12月份达到了38.70%的峰值,最低比例出现在10月份,但是依然达到了22.30%。无效流量的规模如此之大,反映出互联网流量存在严重的泡沫,以及可能广泛存在的肆无忌惮的流量作弊行为。

研究2014年到2016年分媒体类型点击异常趋势,我们注意到广告联盟的点击趋势自2015年起出现了一个近乎“直线拉升”式的增长,这种现象与我们的研究结果基本一致。

广告联盟的一般反作弊策略主要从点击、IP地址、来源、时间顺序、ALEXA数据等维度进行监控。当作弊行为转移到移动平台之后,上面的很多策略都将失效。

360烽火实验室的异常流量监测系统目前主要包含了如下五大功能模块:流量分布分析模块、TOP域名监测模块、启发式关联分析模块、产品联动分析模块以及样本联动分析模块。


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-04-27
移动平台流量黑产研究——流量作弊与流量泡沫
360烽火实验室检测到两个非色情视频类样本触发的域名进入了每日域名TOP排行的前三,而前三名的域名一般情况下被色情视频类样本触发的域名占据。

长按扫码 阅读全文

Baidu
map