今朝，跟著應用市場內(nèi)應用數(shù)量爆炸式的增長，App營銷和推廣的難度也越來越大年夜，刷榜被廣泛認為是一種應用推廣的最佳捷徑，它可以或許在短期內(nèi)大年夜幅進步低載量和用戶量，進而進步應用的曝光率。曝光率的晉升，帶來下載量的激增，而激增的下載量又會包管排名靠前，以此出現(xiàn)出滾雪球式的增長。國內(nèi)App刷榜市場正慢慢成長強大年夜，并衍生為一條完全的灰色家當鏈：應用開辟者、刷榜辦事商已經(jīng)形成了一個慎密的構(gòu)造。
   近日，百度安然實驗室發(fā)清楚明了一款專用于惡意刷榜的“刷榜客”手機僵尸木馬。該木馬內(nèi)嵌與正常應用中，當用戶安裝詞攀類應用后，用戶設備即成為“刷榜客”僵尸?！彼窨汀笔謾C木馬的工作流程如下：
 
[img]http://img.blog.csdn.net/20150104120817102
 
1、“刷榜客”請求控制辦事器獲取Google賬號、暗碼登錄信息?？刂妻k事器返回Google登錄帳戶名及暗碼。
2、“刷榜客”獲取登錄Google賬戶和暗碼后，應用獲取到的┞匪號信息，經(jīng)由過程模仿Google Play協(xié)定獲取登錄授權(quán)。
3、獲得Google登錄授權(quán)后，“刷榜客”請求控制辦事器獲取刷榜指令。
4、“刷榜客”根據(jù)刷榜指令，經(jīng)由過程Google Play下載指定的應用，進行刷榜。
 
感染“刷榜客”手機木馬的用戶，會被“刷榜黨”長途控制實施惡意刷榜，刷榜過程會消費大年夜量的數(shù)據(jù)流量。大年夜控制辦事器信息來看，該手機木馬由國內(nèi)開辟者開辟，因為國內(nèi)收集的限制，該木馬并不針對中國用戶。
 
 
一、控制辦事器相干功能分析：
 
拜訪指令控制辦事器，即可直接進入辦事器治理界面。辦事器供給功能列表如下：
 
[img]http://img.blog.csdn.net/20150104120839156
 
[img]http://img.blog.csdn.net/20150104120849359
 
1、進入“增刪改查 用戶數(shù)據(jù)”頁面，可以查看、修改、刪除辦事器已有的Google賬號信息。今朝辦事器已有上萬的Google賬號、暗碼用于惡意刷榜。
 
[img]http://img.blog.csdn.net/20150104120839269
 
2、進入“增刪改查 義務數(shù)據(jù)”頁面，可以新建刷榜義務。
 
[img]http://img.blog.csdn.net/20150104120844901
 
3、進入“導入賬戶” 頁面，可以根據(jù)國度，進行批量Google賬戶，暗碼信息上傳。
 
[img]http://img.blog.csdn.net/20150104120849830
 
 
二、“刷榜客”手機木馬分析
 
1、惡意代碼構(gòu)造圖
 
[img]http://img.blog.csdn.net/20150104120854682
 
2、惡意代碼分析
 
點擊擱筆進入法度榜樣后，調(diào)用Task.init急速啟動相干的刷榜代碼：
 
[img]http://img.blog.csdn.net/20150104120854682
 
Task.inti啟動TaskService辦事
 
[img]http://img.blog.csdn.net/20150104120900594
 
TaskService調(diào)用DMainTask.doWork調(diào)器具體刷榜邏輯
 
[img]http://img.blog.csdn.net/20150104120905025
 
DMainTask.doWork完成全部的Google賬號獲取、登錄Google Play、獲取刷榜指令和根據(jù)指令下載Google Play特定應用的義務。刷榜邏輯如下：
 
[img]http://img.blog.csdn.net/20150104120909830
 
Google Play正常應用下載請求流程根本如下描述：
（https://github.com/egirault/googleplay-api/issues/30）
 
[img]http://img.blog.csdn.net/20150104120913792
“刷榜客”手機木馬就是經(jīng)由過程代碼協(xié)定模仿了以高低載流程，來實現(xiàn)Google Play惡意刷榜。