恶意SDK是网络流量黑产通过“污染”正规应用、利用应用设备进行刷量的一种流量作弊手段。作为流量黑产赚取广告费的重要工具,其对广告主的营销活动构成了极大威胁。
恶意 SDK 是网络流量黑产通过「污染」正规应用、利用应用设备进行刷量的一种流量作弊手段。作为流量黑产赚取广告费的重要工具, 其对广告主的营销活动构成了极大威胁。
近日, 腾讯安全成功追踪捕获了一款新型 SDK 恶意刷量子包。该恶意子包已「潜伏」在掌通家园、暴风影音、天天看、塔读文学等 1000 余款移动应用中。借助此恶意 SDK, 黑灰产可在用户无感知下, 实行广告的自动刷量。腾讯安全已在第一时间发布了安全预警, 联络各大应用厂商并协助其及时整改。
此款恶意 SDK 是腾讯安全继 2018 年 4 月曝光首起千万级感染量恶意推广方式——「寄生推」以来的又一发现。腾讯安全认为, 这类通过控制大量真实设备做刷量作弊「肉鸡」方式的再度活跃, 进一步印证了流量作弊向移动应用上游供应链蔓延的趋势, 广告主和移动应用厂商应提高警惕。
超千款应用沦为刷量「肉鸡」 大量广告费用流入黑产「口袋」
腾讯安全反诈骗实验室介绍, 这款新型恶意 SDK 主要瞄准各类中小型应用, 通过将下载恶意子包嵌入正规移动应用, 达成对应用分发渠道的复用, 实现触达千万级用户的目的。一旦入侵成功, 应用设备将沦为流量黑产赚取大量广告费用的「肉鸡」。
与普通恶意 SDK 不同, 该恶意 SDK 被集成于移动应用的代码并没有实际功能, 它本身并不具备刷量功能。其恶意刷量操作是基于代码分离和动态代码加载技术而实现的。被调用的恶意 SDK 可经由定时上报的设备信息触发动态恶意子包的下载和加载调用。随后, 由子包从云端下发的执行代码, 能在 webview 配合 js 脚本的支持下, 实现用户无感知状态下的广告刷量操作, 具有较高的隐蔽性。
(恶意 SDK 作恶链条)
此恶意 SDK 目前主要承担着搜索关键词、亿量广告自动点击以及网页访问等刷量任务。刷量范围之广、流窜之快, 将极大地扰乱广告曝光量和点击量的分布走向, 进而使得大量广告费用流入黑产「口袋」。广告主将因此蒙受营销费用的巨额损失, 甚至误判广告效果, 从而对品牌和企业的营销策略和方向带来持续性的负面影响。
为遏制事态的进一步恶化, 腾讯安全也在第一时间分别为移动应用的开发者和终端用户提供了安全建议。
流量作弊衍生「进化」形态 优化反击策略成广告营销新诉求
恶意 SDK 的活跃一定程度上映射的是整个移动广告流量黑产的新生态。大数据、云计算、区块链等技术的升级运用, 催生了流量黑色产业链的「技术进化」, 使其作弊策略突破了传统依靠代理 IP、群控系统等介质的局限, 而呈现出更为隐秘、快速的特征。流量作弊范围由集中于移动应用下游的游窜向其上游开发和供应链转移扩散。
在作弊手段方面, 腾讯安全反诈骗实验室结合与流量黑产对抗的经验数据发现, 流量黑产从业者已更多地把精力从恶意 APP 应用的直接开发转向恶意 SDK 的开发。以恶意 SDK 伪造为代表的「真机真用户」后台无感刷量手段已取代传统的机器刷量、群控刷量, 成为最为活跃的流量作弊手段。作弊技术的革新对以「流量质量」为营销生命线的广告主而言, 无疑是不容忽视的威胁。
移动广告市场的壮大也在助推着流量黑产的发展。腾讯安全团队发布的《2018 广告反欺诈白皮书》显示,2018 年黑产流量总体比例维持在 15% 左右;而腾讯安全反诈骗实验室提供的最新监测数据显示,2019 年中国第一季度的广告作弊流量平均占比为 26% 左右, 较之 2018 年几乎增长了近一倍。不难看出, 在广告主将营销重心和投入转向移动广告的同时, 由信息不对称和数据缺乏可见性带来的流量黑产体量也随之大幅膨胀, 给相关品牌和广告主的流量反欺诈带来了更大困难。
(腾讯安全反诈骗实验室 2019 年第一季度广告流量作弊比例变化图)
与此同时, 传统通过 IP、曝光频率、点击率等表象数据形成的排重、异常黑名单设置等反作弊策略已无法有效应对流量黑产优化带来的风险。新威胁生态下, 如何有效开展流量反欺诈成为各大品牌和广告主在新威胁生态下进行广告营销亟待解决的痛点。
高效识别+深度溯源 构建广告营销安全新生态
面对不断「进化」的流量黑产, 流量反欺诈的技术和思维亦亟需革新。以深度学习模型和大数据知识图谱为内核的系统化解决方案成为广告主突出黑产重围、解决营销资金安全痛点的有效「利器」。
为帮助更多广告主切实减少不必要的营销损失, 基于腾讯安全反诈骗实验室领先的终端感知、样本覆盖等能力优势, 构建而成的腾讯安全广告反欺诈解决方案应势而生。该方案包括旁路监测、高度持续化运营的欺诈终端、用户标识知识库以及自动化动静态样本检测系统三大优势服务, 旨在依托腾讯安全多年反欺诈的经验, 帮助广告主、移动应用平台解决营销活动中的流量反欺诈识别、判定和实时处理等问题。
(腾讯安全广告反欺诈解决方案)
广告主和移动应用厂商可通过向服务接口传入流量数据的方式, 获取终端标识信息、后端应用数据、客户数据的采集和关联分析等服务, 从而实现各渠道流量质量的精准评估, 获取流量异常的实时信息, 从而精准打击流量黑产的作弊和欺诈行为, 切实守护营销资金的安全。
同时, 利用高度持续化运营的欺诈终端、用户标识知识库, 广告主和移动应用厂商还可实现对流量欺诈用户的有效标识和持续监控、更新, 能更有效地预防流量欺诈风险的发生。
此外, 结合样本代码检测耗时低至秒级的高性能自动化 APK 静态、动态检测系统, 腾讯安全反诈骗实验室的此套解决方案还能帮助广告主和移动应用厂商实现对流量黑产的深度追溯, 并建立与之对抗的感知、监测、对抗模型。与旁路监测和标识知识库配合, 为客户打造贯穿流量营销全周期的安全防护墙。
流量质量直接影响着品牌和广告主的营销性价比。移动广告手段和技术的不断「进化」, 倒逼着流量反欺诈技术的革新。流量反欺诈是数字营销生态需要共同面临的一场持久战。腾讯安全将继续深化与广告主、移动应用开发者和应用运营市场等相关利益方的合作, 为广告流量安全统一战线的夯实持续输出技术支持。
