解密地理位置模拟攻防之道

简介: 有钱赚的地方就有黑灰产。

有钱赚的地方就有黑灰产。

近几年,随着互联网技术的发展,黑灰产的规模也日渐庞大。据统计,国内黑灰产从业者规模超过百万;2021年,黑灰产造成的损失已高达千亿级,可预见的是,凡有利可图、有洞可钻之处,黑产就不会绝迹。而且随着社会经济、生活进一步“互联网化”,黑产规模注定会持续扩大。

黑灰产的产业链也从10年前的小作坊模式发展为现在有明确分工的上、中、下游完整的产业链条。上游负责黑灰产的基础服务,比如代理平台、软件工具等的搭建和编写;中游负责账号的生产销售,比如恶意注册、盗号、洗号等;下游则负责获利套现。

2e729d336d2c4b20aff8f3e7c0e2feaf.png

正所谓,道高一尺,魔高一丈,与黑灰产的攻防战也在悄悄展开。

今天我们就以移动端攻防对抗中的地理位置模拟对抗为例,讲讲与黑灰产“斗智斗勇”的那些事儿。

地理位置模拟开发初衷

地理位置模拟顾名思义就是基于手机地理位置的模拟工具,可以通过对位置的模拟改变当前位置。

最初,地理位置模拟是用来开发App 时测试用的,其主要目的是帮助开发者模拟某些App 的当前地址来实现测试的定位功能,且设备无需root权限,只需通过模拟软件、第三方工具等就可以改变所在位置的经纬度,可以穿越到任何地方。

这对于黑灰产而言,简直是天然的“作案工具”。

比如,在某些特定的营销场景里,黑灰产可以利用地理位置模拟工具修改地理位置,冲破商家对地理位置的限制,恶意骗取营销资源。

不久前,顶象曾在第六期业务安全情报《黑灰产盯上政府消费券,最高套现额超千万》一文中详细介绍过黑灰产的攻击手段和攻击套路——黑产中介为了方便更多的刷手能够顺利参与其中,会提供更改定位的教程,并提供相应的软件。通过作弊软件更改IP、GPS等,刷手们能够立刻模拟成当地的用户,成功参与领券。

bae80353aa5a4f79b8151f5ee1ceeb48.png

再比如,在一些上班打卡的场景里,黑灰产可以通过地理位置模拟轻松实现异地打卡。顶象曾在上期直播《保险代打卡对抗实战》中讲到代打卡作弊业务。

在网上搜索“代打卡”,会出现大量搜索结果,不仅有详细的图文介绍,更有手把手教人如何“考勤作弊”的视频。部分电商平台上也有大量“XX异地考勤打卡助手”、“考勤打卡助手”“考勤打卡更改地址”等产品和服务出售。根据不同的作弊方式推出对应的价格套餐:

方式一使用打卡作弊软件随心飞,收费标准是60元/人/月;

方式二使用蓝牙打卡器+GPS软件,收费标准是150元/人/月;

方式三直接黑产代打卡,收费标准是80元/人/月。

5640d9267f2147c3bed5737961f2b79c.png

黑灰产如何通过地理位置模拟作弊?

在安卓系统中,本身是提供相应的地理位置模拟功能,但其权限只有开发者才可以使用。

a4cf4223c8e0440c86e02d2ba3b5bb9f.png

对于开发者来说,可以直接打开应用根据需求进行位置模拟。

那么,这是不是说明正常用户没有权限就无法进行地理位置模拟呢?

答案是否定的。

事实上,只要你的手机有Root 权限,我们就可以通过代码注入的方式进行相应的地理位置模拟,所谓代码注入就是在App 里植入我们想要执行的代码即可进行相关操作。

e8623b194df5488795707795644c85cd.png

那么,如何检测呢?

事实上,在非Root 权限的手机上,我们打开开发者选项,其系统会提供相应的API,通过调用相应的API,我们就可以检测到当前手机是否打开了地理位置模拟功能。如果这个选项是被打开的,那么当前我们获得的地理位置信息,可能并不是真实的,此时就需要业务方或者App 的开发者做相应的处理。

b54703f346ff4fb1bfda9f16fd1720f0.png

但在有Root 权限的手机上,我们不一定需要打开开发者选项。前文中提到,在有Root 权限的手机上,有可能通过代码注入的方式篡改地理位置,这也就意味着篡改这部分的代码或者信息已经注入到了整个进程中,此时就需要通过其他手段来检测当前的代码是否被注入。

通常我们的检测方法有两种。

一种是通过检测文件系统中是否存在位置模拟的代码库。以下图为例,可以看到,模拟位置的代码库通过共享代码注入到代码里。一般情况下,我们可以通过检测整体的进程空间,在进程空间里,如果发现了这部分so 文件存在,那么也就说明这部分文件被注入到了内存里,由此也可以判断出当前App 所获得的代码信息及位置信息。

3ab5e9569aa648ea9a186109b94d1e7b.png

第二种方法是通过逆向分析App代码找那个是否存在加载了位置模拟的代码库。通常情况下,App的代码被注入是通过静态的方法植入到App 里面去的,App在运行过程中把这部分so 文件load 起来。通过逆向分析,我们就可以看到App在代码里面是否存在加载这个位置模拟的相应代码。

以下图为例,可以看到该App在代码执行的过程中,调用了代码加载的一个函数,那么由此可以判断这个App是被感染过的——在安装过程发生之前就已经被攻击者植入了相应的代码,来进行相应的so 文件加载。
321b7d5a70ce44c3a23bb610ae7a01b3.png

整体来看,黑灰产的对抗工作,不是简单的一环,而是一个完整的链条。

但偷袭者魔高一尺,狙击者道高一丈,与黑灰产之间的攻防注定是一场持久战,需要攻守双方不断磨炼实力。

相关文章
|
数据采集 安全 网络协议
探寻渗透测试之道:信息收集在网络安全中的重要性
探寻渗透测试之道:信息收集在网络安全中的重要性
277 0
|
运维 监控 算法
解析极光算法:揭秘流量监控背后的关键
不知道大家有没有听说过极光算法(Aurora Algorithm),它在流量监控领域可是一位“大咖”!就好比是网络、通信和数据处理领域的“舵手”。它的任务很明确,就是要“识别判断”那些不对劲的流量,帮助监控系统“洞察虫情”,发现可能的安全威胁、网络故障等状况。以下是极光算法在流量监控中重要性的一些方面——
163 0
|
人工智能 安全 算法
《白皮书》:身边的人脸安全事件及背后的三类攻击手段
近日,顶象发布《人脸识别安全白皮书》。《白皮书》对人脸安全事件、风险产生的原因进行了详细介绍及重点分析。
239 0
《白皮书》:身边的人脸安全事件及背后的三类攻击手段
|
SQL 人工智能 自然语言处理
|
数据采集 移动开发 监控
客户端系统化体验分析:一种无入侵的设计与实现
本文主要阐述一种客户端体验分析的思考与系统化实践。优化用户体验的关键点在于如何评估衡量用户体验,传统用户体验分析度量主要有埋点耗时统计及录屏帧耗时统计等手段,这些方法存在开发接入成本较高,分析结果粒度较粗等问题。为了解决传统体验分析中的若干问题,我们提出了基于无线AOP的端到端链路分析和评估方法,该方案采用无入侵方式降低了接入成本,同时将交互链路片段化并产出细粒度分析结果,实现了客户端上用户行为链路的标准化度量及客户端全景体验分析,为客户端体验问题的定位及优化提供有力的支持。
客户端系统化体验分析:一种无入侵的设计与实现
|
运维 分布式计算 资源调度
走近华佗,解析自动化故障处理系统背后的秘密
集群医生华佗是集群自动化故障监测和处理系统,是平台和运维对接的关键系统,它承担了飞天平台自动化故障处理系统的任务。如何能又快又好地发现和解决线上故障呢?本文为您解析自动化故障处理系统背后的秘密。一起来了解华佗是如何提升集群的故障发现、处理的效率和准确性,解放运维人员,提高飞天稳定性和可靠性的 。
5678 0
|
Web App开发 监控 安全
游戏安全资讯精选 2017年第十五期:网络安全人才短缺是安全事件的根源,游戏行业为典型;点评最新十大Web安全隐患;MongoDB最新漏洞缓解建议
网络安全人才短缺是安全事件的根源,游戏行业为典型;点评最新十大Web安全隐患;MongoDB最新漏洞缓解建议
2533 0
下一篇
无影云桌面