早在2002年,意大利的《传奇》游戏欧洲服务器早期英文版服务器端安装程序源代码泄露几经辗转进入中国,由此开启了一个潘多拉魔盒,让游戏私服成为了黑客进入中国网游戏市场的缺口。黑客就像食肉动物,哪里有猎物就在哪里肆虐,如今飞速发展的手游市场无疑是黑客垂涎的肥肉。
2013年年底《英雄联盟》开发商Riot Games的总裁兼创始人Marc Merrill的Twitter账号被黑客盗用,曝光了一款全新的卡牌游戏League of Legends: Supremacy 《英雄联盟:霸权》,并放出了一张游戏截图。
2014年1月,台湾易游网络有限公司旗下代理的金庸授权武侠手机游戏《神雕侠侣》在香港地区透过打怪掉落领取到的7-Eleven$20(港币)电子现金券,3小时内被黑客恶意刷走价值20万港元(约等于80万台币)的货品。
2月,游戏《部落战争》所属公司Supercell被晒内裤,一个名为Ethical Spectrum的黑客入侵了该公司的Facebook账户,之后散布了Supercell内部的用户和收入数据。
同月,中青宝花千万代理的魔幻手游《冰火王座》遭遇黑客恶意攻击,八百条五星好评被删除,并刷上近百条的游戏差评。
不同规模的第三方应用市场中恶意程序占比
黑客产业链曝光
如今,手游市场背后隐秘的黑客产业链又是怎样进行的呢?
日前,在一场UCloud联合主办的游戏开发者沙龙上,业内网络专家们探讨了“黑客地下产业链中的手机游戏”这一话题。
就像传统的互联网黑客一样,手游黑客帝国也极其庞大且分工明确,有专门提供木马程序的,有专门提供肉鸡的。甚至一些比较大的私服每个月都会花2-3百万元来进行攻击,方式一般为,花钱雇佣数万台甚至几十万台“肉鸡”发送巨量数据集中攻击对手,让对手的服务器瘫痪,按照一些地下市面价格,1G的流量打1个小时约4-5万元。
一个完整的黑客产业链条,一个盗号木马,通过一条制造、贩卖、传播、使用、盗号、销赃的流水线,把一连串虚拟世界的数字代码变成了真金白银,产业链上各个环节分工明确,“过客”可以根据自己的专长,专门负责某个环节,而更让人担忧的是,各种各样的计算机木马病毒、黑客技术,在网络中泛滥传播。
具体而言,针对Android平台和ios不同系统,黑客攻击的方式也有所不同。Android平台具有很强开放性,黑客采用的方式比较多样,一般是通过所谓破解版App来将恶意代码加入程序,盗取用户设备中的信息,再进一步盗取用户财产。而iOS系统相对封闭,App Store里的欺骗行为更多体现在汇率漏洞与黑卡上。
“拆包打包”Android系统如何被攻击
如图所示,黑客与非法SP对下载的apk安装包进行反编译,在其中加入恶意代码文件,生产恶意软件,再将游戏重新打包生成新的运行程序。相对原程序,加入恶意代码的新运行程序更占据磁盘空间。接下来,黑客会将加入恶意代码的App穿上诱人的外衣,例如美图或更引人注目的名字,从而引诱用户下载。一般情况下由恶意代码编写的程序会优先于原程序运行,同时获取用户的各种本地权限。
我们都知道现在很多游戏都有植入广告,更让人头痛的是这些广告通常难以关闭,只要一经点击就会通过后台发送短信产生扣费,而这种短信很多情况下是被隐藏的用户无法知晓。没错,这就是黑客的“功绩”,黑客们首先寻找热门游戏、知名软件,通过反编译,在软件中插入恶意代码,然后由“打包党”负责大批量二次打包app,再在第三方应用市场,各大论坛分发,由用户下载。“打包党”们利用消费者追捧热门应用的心里、加上普通人难以区分正版盗版,以及应用市场安全监管能力的不足,令恶意广告和病毒木马顺利进入用户手机中。
只要在用户手机上运行了经黑客二次打包的软件,恶意代码也就被运行且获得了权限,黑客就可以对用户手机进行远程操控。而根据记者了解,远程操控通常被分为课件和不可见两种方式,可见方式很容易被发现,比如黑客控制自动拨打电话;而更多的时候便是隐蔽的不可见操控,比如自动下载收费程序。
通过以上所述的攻击方式,移动APP领域的地下产业链已然形成,例如我们所熟知的SP增值服务扣费,二次打包植入广告,移动僵尸网络,篡改数据等。
有业内人士表示,SP扣费该形式最简单粗暴,但需要运营商的收费通道。此类病毒每次进行小额支付,比如说扣2元,一般扣费一次运营商可以提取30%,剩下70%的费用中,有10%由SP代码公司获得,也就是0.14元。剩下的90%,即1.26元由恶意代码制作者获得。还可以通过远程服务器指令来配置扣费与否和扣费区域。
植入广告一直让用户很苦恼,黑客将APP二次打包植入广告,其在用户的手机中以通知栏提醒、悬浮窗提醒、广告展示等多种形式诱导用户点击,同时窃取用户的隐私信息并上传,或者在后台静默下载各种软件。这种方式盈利模式见效最快,通过用户点击广告、后台下载软件产生非法推广利益以后,黑客、打包党与非法广告渠道商进行收入分成。相关数据显示,一个10人左右的打包团队每个月的纯利润可以达到150万元。
除了sp扣费与二次打包的植入广告,移动僵尸网络也屡见不鲜,其是指黑客控制了用户手机以后,黑客发出指令利用手机为指定地址刷流量;通过将手机僵尸病毒伪装为短信链接,骗取用户点击;还可将病毒伪装为手机常用程序,骗取用户下载安装后,迫使用户感染和以其手机为病毒传播源,外发给其对应联系人进行二次扩散传播,通过这样的扩散方式,更多的手机在感染此病毒后成为新的“僵尸手机”。
最后不得不说的是数据篡改也要命,其方式有三种,替换内置广告SDK,强行推送广告赚取广告费;加入恶意代码,通过后台隐秘下载APP,安装后自动删除,按照激活次数收取推广费;替换应用支付系统,修改收款方,同时还可以通过登录系统中加入脚本窃取用户账户密码。
攻击iOS黑客走“汇率”后门
在ios系统中黑客进行攻击主要是针对其汇率漏洞和黑卡。黑卡是指利用盗刷和黑卡低价代购App甚至Gift Card。汇率漏洞,则是指运用App Store自有的汇率折算系统,该系统固定不变,但近年来因为诸多原因,部分国家的货币对美元汇率波动巨大,从而导致以下现象,例如一款中国区售价100元人民币的游戏(或内购物品),如果用这些汇率波动国家的货币进行支付,借助App Store汇率和实际汇率的差价折算后,实际仅需70元人民币。
魔部记者发现,在淘宝上以关键字 “iOS游戏充值”搜索了一番,得到商品信息超过2000条。这些游戏代充服务大都集中在当前的热门手游诸如《我叫MT》《神魔》等,这些代充服务售价与官方内购价相去甚远。
以热门游戏《我叫MT》为例,游戏中价格最高的内购“7770符石”的官方价格为648元,而淘宝代充店的价格是460元上下浮动——相当于以7.1折价格买到了内购。
怎么破?见招拆招
黑客暴利产业链瞄准手游,不仅是游戏开发者遭殃,用户也是受害者,而对于用户来说做好防范工作应该注意选择官方渠道进行下载,抑或是信誉好的渠道,尽量不要随便打开不明短信链接、APP安装提示,在公共场合不连接无线网络时最好关闭网络。
而对于游戏开发者而言,应该及时发现漏洞源,用可靠的方法对漏洞进行填补,针对Android系统有以下几招:
反调试漏洞,该漏洞直接危害到用户的支付安全与隐私,当用户使用支付软件的时候,偷走用户的支付口令;当用户在使用发短信功能时,偷走短信记录。而针对此漏洞最为有效的方法是进行底层加密保护或使用第三方安全加固(通过第三方平台对App进行加密)。
反编译漏洞 ,通常黑客找到找到App的设计流程,进行盗版、篡改、恶意代码注入;对部分积分机制的APP进行破解,绕过程序的验证机制;通过暴露的URL对服务器进行恶意攻击,从而使App源码暴露,给黑客二次打包的机会。在这种情况下最为直接的方法就是对代码进行加密或者对代码进行混淆。
而针对内存漏洞,建议开发者对应用数值进行打散处理。
相比Android系统,目前黑客对于ios系统的攻击稍显弱势,有人称黑客的暴力生意算得上“没有信仰,只有丧心病狂”,而面对这庞大的地下黑客,针对“敌人在暗你在明”的现状,开发者也唯有见招拆招。