一文看透地理位置模拟攻防对抗那些事儿
有钱赚的地方就有黑灰产。
近几年,随着互联网技术的发展,黑灰产的规模也日渐庞大。据统计,国内黑灰产从业者规模超过百万;2021年,黑灰产造成的损失已高达千亿级,可预见的是,凡有利可图、有洞可钻之处,黑产就不会绝迹。而且随着社会经济、生活进一步“互联网化”,黑产规模注定会持续扩大。
黑灰产的产业链也从10年前的小作坊模式发展为现在有明确分工的上、中、下游完整的产业链条。上游负责黑灰产的基础服务,比如代理平台、软件工具等的搭建和编写;中游负责账号的生产销售,比如恶意注册、盗号、洗号等;下游则负责获利套现。
正所谓,道高一尺,魔高一丈,与黑灰产的攻防战也在悄悄展开。
今天我们就以移动端攻防对抗中的地理位置模拟对抗为例,讲讲与黑灰产“斗智斗勇”的那些事儿。
地理位置模拟开发初衷
地理位置模拟顾名思义就是基于手机地理位置的模拟工具,可以通过对位置的模拟改变当前位置。
最初,地理位置模拟是用来开发App 时测试用的,其主要目的是帮助开发者模拟某些App 的当前地址来实现测试的定位功能,且设备无需root权限,只需通过模拟软件、第三方工具等就可以改变所在位置的经纬度,可以穿越到任何地方。
这对于黑灰产而言,简直是天然的“作案工具”。
比如,在某些特定的营销场景里,黑灰产可以利用地理位置模拟工具修改地理位置,冲破商家对地理位置的限制,恶意骗取营销资源。
不久前,顶象曾在第六期业务安全情报《黑灰产盯上政府消费券,最高套现额超千万》一文中详细介绍过黑灰产的攻击手段和攻击套路——黑产中介为了方便更多的刷手能够顺利参与其中,会提供更改定位的教程,并提供相应的软件。通过作弊软件更改IP、GPS等,刷手们能够立刻模拟成当地的用户,成功参与领券。
再比如,在一些上班打卡的场景里,黑灰产可以通过地理位置模拟轻松实现异地打卡。顶象曾在上期直播《保险代打卡对抗实战》中讲到代打卡作弊业务。
在网上搜索“代打卡”,会出现大量搜索结果,不仅有详细的图文介绍,更有手把手教人如何“考勤作弊”的视频。部分电商平台上也有大量“XX异地考勤打卡助手”、“考勤打卡助手”“考勤打卡更改地址”等产品和服务出售。根据不同的作弊方式推出对应的价格套餐:
方式一使用打卡作弊软件随心飞,收费标准是60元/人/月;
方式二使用蓝牙打卡器+GPS软件,收费标准是150元/人/月;
方式三直接黑产代打卡,收费标准是80元/人/月。
黑灰产如何通过地理位置模拟作弊?
在安卓系统中,本身是提供相应的地理位置模拟功能,但其权限只有开发者才可以使用。
对于开发者来说,可以直接打开应用根据需求进行位置模拟。
那么,这是不是说明正常用户没有权限就无法进行地理位置模拟呢?
答案是否定的。
事实上,只要你的手机有Root 权限,我们就可以通过代码注入的方式进行相应的地理位置模拟,所谓代码注入就是在App 里植入我们想要执行的代码即可进行相关操作。
那么,如何检测呢?
事实上,在非Root 权限的手机上,我们打开开发者选项,其系统会提供相应的API,通过调用相应的API,我们就可以检测到当前手机是否打开了地理位置模拟功能。如果这个选项是被打开的,那么当前我们获得的地理位置信息,可能并不是真实的,此时就需要业务方或者App 的开发者做相应的处理。
但在有Root 权限的手机上,我们不一定需要打开开发者选项。前文中提到,在有Root 权限的手机上,有可能通过代码注入的方式篡改地理位置,这也就意味着篡改这部分的代码或者信息已经注入到了整个进程中,此时就需要通过其他手段来检测当前的代码是否被注入。
通常我们的检测方法有两种。
一种是通过检测文件系统中是否存在位置模拟的代码库。以下图为例,可以看到,模拟位置的代码库通过共享代码注入到代码里。一般情况下,我们可以通过检测整体的进程空间,在进程空间里,如果发现了这部分so 文件存在,那么也就说明这部分文件被注入到了内存里,由此也可以判断出当前App 所获得的代码信息及位置信息。
第二种方法是通过逆向分析App代码找那个是否存在加载了位置模拟的代码库。通常情况下,App的代码被注入是通过静态的方法植入到App 里面去的,App在运行过程中把这部分so 文件load 起来。通过逆向分析,我们就可以看到App在代码里面是否存在加载这个位置模拟的相应代码。
以下图为例,可以看到该App在代码执行的过程中,调用了代码加载的一个函数,那么由此可以判断这个App是被感染过的——在安装过程发生之前就已经被攻击者植入了相应的代码,来进行相应的so 文件加载。
整体来看,黑灰产的对抗工作,不是简单的一环,而是一个完整的链条。
但偷袭者魔高一尺,狙击者道高一丈,与黑灰产之间的攻防注定是一场持久战,需要攻守双方不断磨炼实力。