全局APP生成框架是指无需复杂的技术编程即可实现APP开发的框架。使用APP生成框架开发APP,可以大大简化开发步骤,缩短开发周期,一定程度上节省开发成本。因此,越来越多有开发需求的人成为APP生成框架的用户,其中不乏黑灰行业从业者。.360烽火实验室在对安卓黑灰产品的持续监测中发现,越来越多的黑灰产品开发者倾向于使用APP生成框架开发黑灰产品APP。自2016年以来,我们在对黑勒索病毒的研究中,发现了大量由一键AndroidEasyLanguage(E4A)生成的勒索软件。事实上,E4A只是市面上众多APP生成框架中的一种。一年多来,我们陆续收集了数万个APP生成框架,同时捕获了数百万个使用这些APP生成框架开发的黑灰APP。图1为2014-2018年框架开发的黑灰APP在总黑灰APP数量中的占比。2016年以来,框架开发的黑灰APP的数量和占比开始上升激增。到2018年全年黑灰APP总产量的22%是框架开发的。从黑灰APP框架开发占比变化来看,黑灰APP整体开发呈现框架化趋势。APP生成框架不仅帮助众多用户实现了开发梦想,也为黑灰产品提供了一种低成本的APP制作方法。.图12014-2018框架黑灰生产APP占年度APP总量的比例APP生成框架介绍APP生成框架分类APP生成框架不限于特定形式,可以是APP、SDK、封装、开源工具、支持库等。通过这些形式,开发者可以零编程或少编程快速生成APP,生成的APP代码结构高度一致,重复率高。我们将这些不同的形式统称为框架。不同形式的框架有不同的使用方法和实现原理。目前我们收集到的框架可以分为五类:图2五类APP生成框架的典型特征将URL、接口或脚本插入到给定的APP模板中,生成Web应用。根据用途的不同,可细分为直接包装和DIY包装。相比直接打包,DIY打包可以自定义界面和组件样式,在APP中展示设计更加灵活。打包平台通常会根据APP的类型提供丰富的模板供用户选择,如电商模板、社区交友模板等。一键打包是典型的零编程APP生成框架,但通常需要开发者有相应的网站、商店或网页脚本,APP风格比较固定。OpenSourceTools&Libraries开源工具或库(以下简称“工具库”)以工具APP的形式安装在手机上或以SDK的形式嵌入到APP中,封装Android原生API,为开发者提供各种APP开发以更易于使用的方式。功能界面。相比一键打包,工具库框架在功能和形式多样性上更加强大,成熟的工具库通常很容易找到很多源码库提供功能支持,但是使用工具库框架需要开发者具备一定的代码编写和阅读能力,整体使用难度略高于一键打包。插件框架插件框架是使用外壳APP通过反射、Hook和动态加载机制,以插件的形式加载运行真实APP的框架形式。插件框架的开发也需要开发人员具备一定的编码能力。使用插件框架开发一个APP需要两部分:壳APP和真APP。外壳APP和真实APP没有固定的对应关系,即外壳APP可以加载任何真实APP。APP也可以被任意一个shellAPP打包,这个特性在APP批量开发中被广泛使用。外包框架不同于其他“基于工具”的框架。外包框架是将开发需求提交给外包平台,由平台实现APP开发的一种框架形式。与传统外包不同,外包框架开发的APP代码结构高度一致,功能重复率极高,呈现出典型的框架特征。我们搜集的外包框架都是国外的,大部分只承接特定类型的APP开发。APP生成器除了以上四类框架,我们还发现了一个比较特殊的框架——APP生成器。APP生成器一般来自各种贴吧、论坛或者QQ群。一键生成特定类型的APP,通常是特定的灰黑制作APP。图3显示了上述五类框架开发的APP数量分布。工具库是框架开发中最常用的,其次是插件框架和一键打包,三者合计占比高达92%。由于开发周期长、成本高,很少有开发者会选择将框架外包。图3五类框架开发的APP数量分布APP生成框架使用概况APP生成框架历史悠久。Android系统发布不到两年,各种Android框架开发工具就应运而生,并迅速普及。截至2019年初,该框架生成的样本总数已达到800万。360最早被烽火实验室抓到的框架APP出现在2011年,2011年框架APP总数只有1000+,仅占全年APP总量的0.5%。从2011年开始,框架APP的数量逐年增加。尤其是2016年以来,框架类APP在全年APP总量中的占比快速提升。根据统计结果,2018年框架APP占比达到7.3%。图4.图42011-2018年框架APP数量及占年度APP总量占比截至2019年3月,我们共收集了20000+个APP生成框架,其中一键打包框架40个,工具库11个框架,7个插件框架,12个外包框架,20000多个APP生成器。这些框架开发的APP数量差异巨大。我们统计了十大最常用的APP生成框架和生成APP的总量,如图5所示,工具库框架E4A是目前使用最多的APP生成框架,其次是插件框架DKModel和DroidPlugin,三、参会人数突破80万人。图5APP总量TOP10框架及其框架数量APP类型分布我们对2万多种框架生成的APP进行了分类。而门户是仅次于工具类的APP类。在工具中,约71%为黑客工具和即时通讯类APP,影音播放器、金融类APP(投资理财、借贷)等也占据相当数量。图6框架开发APP类型分布从总量来看,占比最高的APP类别为黑客工具、即时通讯和电子商务,三者占比分别为38%、16%和15%总框架APP。黑客工具主要包括刷机挂机、自由流量、游戏外挂、钓鱼、勒索等主流黑灰制作工具;即时通讯主要包括微信和QQ;主要是商务APP。框架平台运行方式和安全隐患运行方式的转变在我们搜集的框架中,有一些一键打包和工具库的框架是通过相应的官方平台进行打包的。大多数框架平台都会同时提供免费和付费服务,付费服务比免费服务更贵。支持更多功能,付出的越多,实现的功能就越强大。如图7所示,一个名为“快宝”的网站提供了三级打包服务。不同层级的功能差异体现在动态效果、对插件的支持,甚至用户隐私权等方面。但是,低级甚至免费的服务提供的功能足以生成基本的APP。对于追求低成本或者对APP质量要求不高的开发者来说,使用低价版或者免费版进行APP开发就足够了。图7快宝三级打包服务在该模式下,单纯销售APP打包服务的商业模式利润有限。再加上市场竞争的压力,传统的框架平台很难带来理想的收益。2018年以来,一些APP框架平台陆续停止服务,一些平台也逐渐开始转变商业模式。除了销售APP打包服务,他们开始整合多种传统增值服务,如软件版权代理、应用包上架等,同时开通代理渠道,将框架作为产品销售,所以有一种情况是是一套代码,但是框架名称和官方平台地址不一样;此外,一些框架平台还引入了广告联盟,帮助开发者利用广告变现,从而吸引更多的开发者。安全隐患框架平台在提供APP生成服务的同时,也带来了诸多安全隐患。首先,框架平台缺乏APP图标、名称等审核机制,存在盗用已有APP名称或图标,从而造成正版APP侵权的问题。;其次,大部分框架在生成APP时,即使APP不进行用户隐私获取、收发短信等操作,框架也会直接将这些有风险的接口暴露给生成的APP。一旦接口被恶意程序使用,可能会给用户带来隐私信息泄露等风险;此外,框架平台业务模式的转型也带来了新的隐患。一方面,框架平台在销售软件版权代理和应用打包服务时,没有明确必要的APP安全规范。应用市场安全测试可顺利通过认证或上架,部分框架应用具有绕过安全测试的特性,存在恶意应用获取软件著作权或成功上架的风险。图8显示了一个名为“Chameleon”的应用程序。另一方面,如果框架或框架APP存在安全问题,框架代码的转卖也会对责任归属的判断带来一定的干扰。图8变色龙平台软件版权代理服务APP生成框架生态恶化越来越多的APP生成框架被黑灰在黑灰APP的制作中逐渐广泛使用。目前,APP生成框架存在诸多生态问题:一是部分框架被黑灰开发者滥用,这些框架开发的劣质、黑灰APP数量远远多于优质、灰白的APP。安全的应用程序;二是一些框架本身就有“动机不纯”,是专门为黑灰APP量产而设计的,这些框架包括数以万计的黑灰APP生成器;此外,还存在风险代码注入的现象APP框架,生成的APP安全性惊人,令人担忧。形式化框架被滥用我们统计了除APP生成器外的四大框架的黑灰比,如图9所示,四大框架下APP的黑灰分布呈现两极分化的特征:插件而black-gray在工具库框架APP中生产APP的比例远高于一键打包和外包框架。黑灰比最高的插件框架的黑灰比高达77.0%,而外包框架的黑灰比仅为0.5%。在四种APP生成框架中,正规插件框架和工具库框架的滥用最为明显。图9四种框架下的APP黑灰比与插件和工具库框架相比,一键打包框架主要针对HTML5和WebAPP。APP制作前,通常需要有现成的网站或脚本等先决条件,外包框架成本太高。高、黑、灰产开发者显然更倾向于选择功能更多元化、成本更低、量产速度更快的框架。在插件框架“壳-真APP”模式下,黑会产品开发者不仅可以为任意APP添加任意自定义壳,快速形成新的APP,安全壳应用还可以隐藏动态加载的恶意静态真实APP特性,增加黑灰APP绕过安全厂商或应用市场安全检测的可能性;工具库框架方面,除了具有类似Andorid原生开发的强大功能外,还有一些以IAPP、E4A、ButtonWizard等为首的工具库框架,可以以APP的形式安装在手机上。开发者无需搭建环境,即可以极简的“堆砌积木”方式完成APP开发。对于成熟的工具库框架,可以从相关技术社区找到非常全面的功能源码库。包括相当多的插件破解、视频和隐私窃取等源代码。工具库框架和插件框架在黑灰产批量打包中的优势使其成为框架滥用的重灾区。在这两类框架中,IAPP和VirtualAPP最为典型。截至2019年3月,IAPP和VirtualAPP开发的应用黑灰率分别高达90%和81%。使用这两个框架开发的黑灰APP数量已经远远超过了安全APP的数量。主要以代理刷机、插件等黑客工具为主,VirtualAPP框架下,以盗版、多APP为主。对于IAPP框架,黑灰的源码资源极其“丰富”。以某IAPP技术社区为例,该网站提供了大量IAPP功能源码,其中大部分为黑客工具源码。图10某IAPP技术社区源码区。黑灰APP生成器区别于正规框架的滥用。黑灰APP生成器本身就是为黑灰APP的制作而生的。截至2019年3月,我们共抓获20000+个黑灰APP生成器。这些APP生成器没有官网,一般通过QQ群、论坛或贴吧传播。特定APP生成器只适合生成特定类型的黑灰APP。在我们抓获的APP生成器中,以储物柜和钓鱼APP生成器为主,如图11所示。图11黑灰制作的APP生成器类别分布。以一个名为“钓鱼生成器”的APP生成器为例,如图12所示。该生成器可以为支付宝账户和QQ账户生成4种不同形式的钓鱼APP,并且可以指定手机短信接收账户信息.黑客软件通过模仿支付宝和QQ登录页面,诱导用户输入支付宝和QQ账号密码。点击确认后,用户输入的账号和密码会发送短信到预留的手机号码。图12钓鱼APP生成器,除了手机号外,部分黑灰APP生成器支持自定义APP名称、图标、启动界面等,可以快速生成多种不同名称或图标的基本表现自动点击脚本黑会APP,大基数黑会APP的量产,可以让黑会以极低的成本增加市场占有率,扩大传播和推广,从而吸引更多的用户。风险代码注入APP生成框架对开发者来说相当于一个“黑盒子”。如果框架包含风险代码注入行为,则该框架开发的所有APP都会有相应的风险行为,最终受害的是用户。我们在深入研究APP生成框架时发现,存在封装平台和部分APP生成器使用APP模板向生成的APP中注入风险代码的现象。框架风险代码注入将导致风险应用和受感染用户数量快速增加,严重影响用户和设备的安全。打包平台注入用户行为采集码,帮助开发者及时了解APP的推广情况,APP打包平台通常会在开发者的个人中心提供用户统计。在持续监控APP生成框架的过程中,我们发现一个名为“AppGenie”的APP打包平台会定期收集额外的用户数据。图13“应用精灵”开发者可见数据统计页面“应用精灵”打包平台的主要功能是将网站一键打包成APP。平台提供给开发者可见的数据统计页面,只能看到APP名称和用户。如图13所示,实际上,除了用户设备标识外,平台还在用于打包APP的模板中添加了用户APP使用行为采集代码,平台打包的所有APP都会定期上传用户信息使用情况APP的时间、时长和行为数据。图14“应用精灵”后台统计APP使用情况截至2019年4月,我们已经抓取了该平台生成的APP约2万个。在这种情况下,平台可以持续监控所有安装了这些应用程序的用户的行为数据。APP生成器注入广告除了封装平台,我们还发现部分APP生成器存在通过模板植入风险广告的行为。以QQ群“APP生成器群”中的一个APP生成器为例。本生成器提供5个APP模板,每个模板都嵌入有风险的广告代码。图15APP生成器支持的模板生成器生成的所有APP都会在主屏打开后出现无法消除的banner广告,如图16,当用户不小心触摸到主屏下方区域时,该应用程序将自动下载所有列出的应用程序。图16生成的带广告的APP无法剔除。APP生成框架框架下的黑灰APP分类概览。300万+,框架黑灰APP占框架APP总量的40%。2018年对框架黑灰产品进行深度跟踪后发现,框架开发的黑灰APP高度集中在盗版、黑客工具和色情视频三大类。APP总量占比高达91%,如图17;其余9%包括赌博、非法借贷、网购诈骗、风险游戏等。图172018年框架黑会App品类分布框架黑会App重灾区框架黑会App以盗版、黑客工具为主,占比47%和34%,其中盗版较多,主要针对微信;黑客工具主要集中在刷音量和插件应用程序。盗版是一种随着插件框架的兴起而泛滥的高风险APP。盗版及多个APP可能伪造与官方登录界面一模一样的钓鱼界面,诱导用户输入账号信息,导致用户隐私信息泄露。我们抓到的盗帧以微信为主。在总的框架盗版中,微信的占比高达55%。此外,游戏、交友、电商和QQ也占据了相当大的比重。图18盗版APP较多的类别分布框架盗刷工具刷量APP是框架盗刷工具的主要类型之一,通常随着热门流量的出现而产生,例如拥有庞大用户群的QQ和热门手游王者荣耀。流量APP的主要功能是为用户采集各种指标,比如QQ会员、空间访问量、游戏券等。随着近几年流行流量的变化,扫帧APP的种类也在不断变化。我们分析了2016-2018这三年框架类APP的变化情况:2016年约90%的框架类APP与QQ业务相关,其中以QQ钻石和QQ点赞为主;2017年,单一QQ业务框架刷量占比下降至60%。同时,直播的?/刷帧APP开始批量出现,主要以刷浏览量和刷粉丝为主。此外,刷框应用逐步向平台化、综合化转型2018年,单一QQ业务框架化应用进一步融合转型,综合化框架化应用量占比达到70%,?/直播帧数增加。图19为2016-2018年框架类应用主要品类分布情况,从近三年的整体趋势来看,单一业务的框架类应用正在逐步向支持多业务的框架类综合平台转变服务。图192016-2018年框架App主要品类分布综合框架平台整合了所有主流品类的功能,包括QQ业务、?/直播、游戏等。图20是名为“飞达科技的综合框架应用”刷网络”。根据刷量目标划分不同区域,各家刷商“应有尽有”。图20刷app综合框架。在刷APP全面转型的大背景下,APP生成框架为刷APP开发者提供了更便捷的业务拓展方式——“一键式”批量化。在我们搜集到的综合框架刷机APP中,大部分表现出框架批量生成的特点。这些工具可能有不同的名称、包名或图标,但它们有相互关联的服务器地址或开发商。表1是E4A批量生成的一批综合刷卡APP,共计50000+。数据量大的APP开发者“委婉”地利用APP生成框架便捷、零成本的特点,通过“由一变多”,达到批量推广、市场拓展、业务灵活转移的目的.表1.除了E4A批量生成的使用量APP外,框架破解工具中的另一大类是外部APP。与框架的APP一样,外部框架APP的品类分布也在近三年发生了变化。变化,如图21所示,游戏外挂和QQ商务外挂一直是框架外挂的两大类,占比逐年缓慢上升;流量外挂是近三年波动最大的一类框架外挂,从2016年到2016年,2018年流量作弊比例从30%下降到4%,逐渐退出了框架外挂的行列主流作弊;此外,?/直播作弊和短信、电话轰炸的比例有所上升。图212016-2018框架破解类应用主要分布在框架破解工具中。无论是frameworkhacking还是frameworkhacking,都存在严重的“名不副实”的现象。进行锁屏勒索、窃取隐私、私自扣费等恶意行为。恶意APP开发者善于利用低成本的APP生成框架结合流行的黑客工具,扩大恶意APP的传播感染范围,谋取更大利益。表2截取自我们近期抓获的一批框架黑客工具APP。这些APP由IAPP框架批量生成,软件名称围绕刷量和赌博插件展开。但这些APP实际运行后并没有相应的功能,QQ会弹出登录页面,诱导用户输入QQ账号和密码,并通过短信上传到指定手机号码,造成用户隐私泄露信息。表2仿冒黑客工具的钓鱼APP汇总APP生成框架带来便捷的APP开发方式。利用APP生成框架量产其工具的黑灰生产现象越来越严重,给用户及其设备的安全带来了严重的隐患。APP生成框架生态的健康发展,有赖于APP框架平台、应用市场和安全厂商的支持。对于APP框架平台,明确APP安全规范,加强平台生成的APP安全审计,从源头上杜绝风险APP进入市场。对于商业模式转型引入的服务激增,如软件版权代理、应用程序包上架等,还需要做更多的工作。严格执行APP安全评估,防止存在风险的APP获取相关权证或上架,在没有明确安全规定的情况下不得高价安排。对于应用市场和安全厂商,应根据框架APP的特点,采取专门针对框架APP的应用审核策略,针对部分框架APP静态行为特征的缺失,加强动态和静态APP检测机制。360烽火实验室构建了基于动静结合、变化规律、特征关联的框架APP检测体系,最大程度保障用户及其设备的安全。360BeaconLabs360BeaconLabs致力于移动安全和Android安全生态领域的深入研究,如Android病毒分析、移动黑产研究、移动威胁预警、Android漏洞挖掘等。作为全球顶级的移动安全生态研究实验室,360烽火实验室在全球发布了多份具有国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救包、360手机助手等提供核心安全数据和顽固木马清除方案的同时,也为国内外上百家厂商、应用商店和企业提供解决方案。其他合作伙伴提供移动应用安全检测服务,全方位保护移动安全。本文经安南客授权发布,转载请联系安南客平台。
