综合报告（六）多开产业威胁报告

综合报告（六）多开产业威胁报告

  7/19/2016    gandalf

---

大纲

1. 背景
1. 根据《中国互联网络发展状况统计报告》（https://www.cnnic.net.cn/hlwfzyj/hlwxzbg/201601/P020160122469130059846.pdf）显示，截至 2015 年 12 月，我国手机网民规模达 6.20 亿，手机使用率已至 90.1%；移动电商已成为大势所趋。无论是当当网、凡客的转型，微客来的微客红包新商业模式还是微商的崛起，移动电商是势在必行。
2. 微商是基于移动社交平台发展而衍生的一种去中心化的电商形态，是企业或者个人基于社会化媒体开展的新型电商模式。其利用互联网社交网络，针对性开展各类营销活动，以促成销售的商业活动。
3. 自微信流行微店兴起，到2014年微信朋友圈卖面膜大潮，再到2016年，微商几年的发展几乎超过了传统电商十年的成长速度。
4. 但由于微商的发展，朋友圈遍地广告的场景，严重影响了微信的用户体验，微信随之出台了诸多规范方案，微商也渐渐进入了规范化的良性发展阶段。

1. （图出自：艾瑞咨询－2015年中国微商市场研究报告）
1. 威胁概况
1. 产业发展情况
1. 微商、营销
1. 微商、营销主要流行于微信等社交平台，但通常社交软件帐号支持好友容量有限，一个帐号的完全不能满足营销需求，故需多个帐号来扩大用户量。
2. 但社交应用一般只支持一个设备一个帐号形式，因此微信营销的迫切需求催生了一个设备开多个app的多开产业、以及一台电脑群控手机的群控产业。

1. 多开产业
   1. 应用多开通常有三种形式：
      1. Android手机系统层做隔离，如android for work、miui8手机分身、奇酷手机
         1. Android 5及之后版本支持Android for work的企业安全解决方案，基于Android 本身的多用户架构
         2. miui8的手机分身模式，同样基于Android多用户的基础上底层做了数据分和进程分离
         3. 奇酷手机只支持微信单一app的多开，原理上应该是基于360开发的动态加载框架DroidPlugin来实现，主要是通过hook各个主要的service，替换ActivitymanagerNative，并使用动态代理的方式替换activity，service等
      2. Android下三方多开app，如LBE的平行空间、双开助手、应用克隆 (App Clone)
         1. LBE平行空间，基于容器的虚拟化实现， 并推出了名为MultiDroid的移动计算平台上的虚拟化系统引擎
         2. 利用hook or 动态加载，Binder Hook、Handler Hook、Native Hook等，四大组件用代理实现
      3. 重打包多开app，使其可以与原版本同时存在，如Android/iOS上的各微信多开版本都是使用此方法
         1. 最基本的只用重打包修改app的包名/bundle id使其能与原版本同时安装即可
         2. 部分app会验证是否同一设备 or 多开app在同一设备上出现信息推送问题，此时需要给每个app分配不同的设备id、serial序列号和MAC地址等
         3. 重打包形式的多开app多为私人所编写，部分含有盗号外挂或者木马，属于高危地带
   2. 应用多开已经是一个相对成熟的产业了，常见的有手游多开，社交软件多开如：微信、qq、陌陌、米聊等，同时也有如淘宝等的多开专用于刷单。
   
   1. 而其中以微信多开为最，其开发、售卖、推广、用户群都已成长起来了。
   1. 微信多开多数都是以营销为噱头来推广传播，同时还出现了不少扩展功能，如批量转发、批量点赞、甚至是暴力加好友等......
      1. 大致上只有简单的多开功能及不闪退保证的售价都在2-3元之间，而增加了一键转发、一键点暂等营销功能的版本售价都飙升到了20-30及以上
      2. iOS版本微信多开相对Android版本通常也贵一些
      3. 淘宝虽然屏蔽了“微信多开”的关键词，但实际使用其他接近的关键词如“微信营销软件”、“微信多开开包”还是能搜到大量的售卖信息
      4. 此外还有各种网站、公众号、小广告在对微信等各类多开应用进行传播推广

1. 1. 群控产业
1. 群控手机成本相对多开软件高出很多，因此发展程度相对薄弱，但从下图为某营销系统的群控软件说明即可看出，其定位精准、功能完备，也是相当成熟的产业了。

1. 重打包微信多开分析
1. 重打包微信多开活跃量
1. 下图为AVL团队收集的Android端重打包微信多开用户近一个季度的活跃曲线（20160301-20160617），可以发现日活量基本稳定在2－2.5w之间。

1. Android系统不允许存在两个及以上相同包名的app，所以重打包微信时，代码里面大量的类名及结构都需要同时修改，所以通常重打包都只是对包名进行稍微变形。
2. 下图统计了微信多开包名活跃度TOP10，其中使用最多的是"com.tencen1.mm"，远超排名第二数倍。（微信官方包名为“com.tencent.mm”）

1. 以上数据表面，微信多开已经有了稳定成熟的用户群体。
1. 恶意样本
1. 但由于微信多开app多为私人所编写，部分含有盗号外挂或者木马，属于高危地带
2. 下图统计了Android端微信多开app的恶意比例，恶意代码（黑）占比为15%

1. 另外统计了恶意代码家族分布，其中Beycont家族占据60%，该恶意代码主要行为会上传用户的短信、通话记录、位置信息、删除指定短信等操作，并且诱导用户填写相关的银行账户等信息，会对用户造成严重的隐私泄露和资产损失。

1. iOS端微信多开
   1. iOS系统同样不允许一台设备存在多个Bundle ID一样的app，只是未越狱情况下iOS平台上的多开相对Android要困难一些
   2. 未越狱情况下使用重打包植入第三方dylib，通过Mach-O LC_LOAD_DYLIB Hook，在app启动的时候对BundleID做了动态修改
   3. 只是由于此类app同样也是私人修改版本，同样容易出现窃取用户隐私，甚至窃取用户支付信息的情况
   4. （参考：微信双开还是微信定时炸弹？- 关于非越狱iOS上微信分身高危插件ImgNaix的分析http://drops.wooyun.org/mobile/15406）
1. 微信多开用户数量
1. 统计使用Android端微信多开app的活跃用户，其用户总数量约为44.5万
1. 如下图所示，只有少量用户使用了超过20个多开app，绝大部分都是在20个以内，出现了明显的长尾效应

1. （去掉用户id）
1. 再放大其中超过20个app的典型用户，统计其中top100如下
1. 其使用均超过30个微信多开app，尤其有10多个使用了超过100个微信多开app，基本可以确定属于营销用户了

1. （去掉用户id）
1. 地域分布（做地域热点图）
1. 使用微信多开地域热点如下
1. 广东省、北京使用最多，远超排名第三的山东省，省top10

1. 而又以广州市为最，与北京远超排名第三的郑州市，城市top10

1. 传播情况
1. 以包名"com.tencen1.mm"为例，下图统计了其传播url、域名的top10
2. 其主要通过"pre.im"和“fir.im”进行传播，以下域名基本都属于分发网站或下载站

1. 另外“com.tencen1.mm”中有5.35%为风险应用，会对用户造成一定的威胁

1. 总结
   1. 微商的自然生态，无疑降低了微信用户的体验度
   2. 微商/营销也促进了多开产业的发展，但多开产业的混乱，众多私人开发版本的环境，也成了恶意代码的温床