顶象防御云业务情报中心发现,在互联网生态中存在很多灰色的渠道刷量工作室,渠道方通常以低廉的价格通过这些工作室提高广告URL点击量、应用下载激活量、注册量和真实的推广数据提起反馈给广告主结算,但其提供的数据质量和价格一样低廉,主要是批量刷的虚拟用户,这种行为给整个互联网生态圈带来了恶性循环。
顶象防御云业务安全情报中心BSL-2022-a3c18号显示,自2022年 6月起,顶象发现多家游戏公司在渠道推广中,遭遇大规模的流量欺诈。
一方面广告投放后只能拿到相应的点击量、激活量、注册量,留存率却很低;
另一方面数据中大量的虚假流量,没有真人用户的转化,投入人力对转化失败的数据进一步分析也无法定位到真正的原因。
这不仅浪费了广告方的推广成本、时间成本、开发成本,更给广告主带来大额的资产损失和大量无价值的虚假用户。
应用市场的繁荣让黑灰产有了可乘之机。
各大应用开发商为了在海量App中脱颖而出,除了在功能开发、用户体验上下功夫,在应用推广上更是投入大量成本。
一般开发商会作为广告主委托渠道方进行推广,常见的推广方式有地推、私域社区群渠道、网站广告页引流、提示关键词排名、提升App榜单排名等。不同的方式推广方式按照不同的标准付费,一般付费标准有点击、安装、激活或注册,常见渠道推广是按激活来作为付费标准(激活的定义是指一台从未安装过此App的手机,第一次安装App并联网打开App的行为),但这一过程广告主对三方渠道带来的用户质量是无法把控的。渠道方为了低成本、快速增量赚取高额推广费用,会在推广的同时会找刷量中介通过作弊方式刷虚假流量来进行补量,即App渠道推广作弊。
这样的行为导致广告主花了大量费用在推广投放上,却没有收获对等的推广效果,且数据并没有被转化。
常见的计费标准有按点击量收费、下载激活量收费、注册量收费等,很多投放后只能拿到相应的点击量、激活量、注册量,留存率却很低,因为数据中大量的虚假流量,没有真人用户的转化,投入人力对转化失败的数据进一步分析也无法定位到真正的原因。浪费了广告方的推广成本、时间成本、开发成本,给广告主带来大额的资产损失和大量无价值的虚假用户。
据顶象防御云业务安全情报中心BSL-2022-a3c18号显示,自2022年 6月起,顶象发现多家游戏公司在渠道推广中,遭遇大规模的流量欺诈。渠道方提供的数据往往很亮眼,但事后数据跟踪观察转化率却异常低迷;虽然对数据有所怀疑,但投入BI人力对渠道方提供的数据进行分析,也无法分析出有什么问题,无从下手。
经顶象防御云业务安全情报中心结合线上数据情况和情报信息检测,进一步挖掘出了渠道刷量黑产的四种作弊方式。
1、静默安装
静默安装是指手机机主在不知情的情况下,手机在后台自动完成某款App的下载、安装、激活、注册、删除等操作。静默安装作弊的前提是有木马植入,木马可以伪装成一个普通的手机应用软件,一些提供免费软件或游戏的网站,下载完程序安装后就植入了木马,实现木马植入的思路一般有以下几种方式:
1)利用系统漏洞提权:在运行中的系统程序上注入一段替换代码,让自己的应用提权,这样宿主App就拥有了Root权限;
2)利用安卓签名漏洞提权:利用安卓系统中一个关于签名的漏洞,将一个非法应用替换掉桌面上的某个应用,并赋予Root权限;
3)自设漏洞/利用某些软件的漏洞:某些公司会在用户手机上安装杀不死的服务,这些服务可以接受来自服务端的命令。
静默安装识别起来是相对困难的,因为设备是真机,用户本人不知情,但也并非毫无特征,此类设备一般都有root、hook、注入风险,且大多只在深夜操作,可以结合设备端风险和用户行为特征联合防控;
2、肉刷
肉刷是以真机作为载体,通过特殊的刷机软件,篡改手机的环境参数,如:IMEI号、手机号码、IMSI、MAC地址等关键参数,在人工的操作下,假冒多用户下载、激活、注册和使用的流量作弊行为。因为整个造假过程需要人工操作的介入,所谓称之为“肉刷”。其另外一个特点,就是需要有智能手机等硬件设备作为载体。其作假体系比较简单,大批量的二手硬件设备,外加刷机软件,其成本构成如下:
1) 硬件成本:肉刷需要手机硬件的投入,通常android系统一般购买100-1000元左右的低端机、二手机,iOS一般购置二手的iPhone设备,有专门的回收系统和二次售卖系统供应,大概每台设备价格在200-2000元不等;
2) 软件成本:肉刷这种作弊手法需要修改手机环境的刷机软件,这种软件有专门的供货商,其售价与硬件绑定,使用费按天按设备台计费,大概每台设备每天2-20元不等;
3) 人工成本:肉刷的整个过程需要人工介入和操作。
肉刷设备从指纹端识别一般都有root、模拟器、vpn等风险,且从设备的充电状态、GPS信息、SIM卡信息检测上都会存在异常行为,且手机设备、系统更新较快,更换成本较高,一般黑产人员不会去及时更新设备以及型号,肉刷数据会存在同一渠道来源流量中老设备型号占比异常、老操作系统占比异常等特征;该类作弊风险可以重点从设备端采集数据上分析识别;
3、机刷
部分渠道方会使用一大批手机反复改机,伪装成新手机对同一APP反复进行“安装-激活-删除-安装-激活-删除-安装-激活”,达到刷激活量的方式,俗称机刷。
近几年安卓模拟器(在PC上基于虚拟机运行的安卓设备)发展迅速,市场上常见的安卓模拟器分为2类,一类是Bluestacks,是一个可以让Android 应用程序运行在Windows系统上的软件,由BlueStacks公司推出;另一类是以Genymotion为内核的国产模拟器,Genymotion安卓模拟器其实不是普通的模拟器,严格来说,Genymotion是虚拟机,被网传定义为模拟器,以天天模拟器、海马玩模拟器、夜神模拟器为代表。
虽然模拟器不存在某些硬件模块,比如蓝牙、WIFI、GPS等等,但可以通过软件的方法伪造;每部手机都装载了刷流量程序,与主机电脑上的程序相连接,手机可实现自动篡改参数,完成“刷机”。每刷机一次,手机的各种设备信息就更新一次,进而伪装成新手机,模拟不同的用户点击指定URL并下载安装指定APP,从而增加了广告点击量和下载安装量。
机刷设备从指纹端识别一般都有root、模拟器、vpn等风险,且从设备的充电状态、GPS信息、SIM卡信息检测上都会存在异常行为;可结合设备信息、追踪用户行为信息、留存率、在线时长等业务数据结合防控;
群控模拟点击下载
4、积分墙刷
在移动应用市场推广的过程中,会根据用户对产品的使用深度给予积分奖励或不同数额的现金奖励,这个展示App并给予真实用户奖励的平台就是积分墙应用;积分墙应用内会展示各种积分任务(下载、安装、激活、注册等),用户按操作完成任务后,会获取相应的奖励。
积分墙是真人真机操作,墙上的用户都是真实的手机用户,虽然大多数用户在完成任务后就将APP卸载了,但是存在一定比例的转化率,所以不少广告主还是会选择积分墙的推广方式。
因为有实际的奖励刺激,用户会想尽一切办法通过积分墙获取奖励,这就催生了积分墙作弊薅羊毛行为;部分用户会通过操控批量虚假用户做任务作弊的方式大量赚取推广费用,造成推广试玩对象数据大量参假,对广告主造成了大额损失;
基于黑灰产的渠道推广流量作弊手段,顶象防御云业务安全情报中心建议广告主可在终端加固进行防护,同时结合业务侧进行多组合产品进行防控,进一步防范渠道推广流量,净化游戏App 生态环境。
终端加固
从客户端安全考虑,App的iOS渠道和Android渠道都需要加终端加固。通过加固技术,实现端安全防护,如Android端的DEX文件保护、SO文件保护、资源文件保护、数据文件保护及程序运行保护;通过对APP中可执行文件进行深度混淆、加固保护,让黑产无法直接对APP进行逆向、破解。
业务安全态势感知平台(移动版)
业务安全态势感知产品可以识别移动端的风险,不仅可以覆盖设备指纹产品发现的风险,而且无需决策引擎,可以直接对移动端风险进行处置,但与设备指纹+决策引擎组合的区别在于安全感知无法使用业务字段,只防控移动端层面风险。
防控产品组合建议
设备指纹
设备指纹可以针对端上风险进行识别,设备终端运行环境检测,校验运行环境是否存在风险特征,例如是否有sim卡、是否云手机、是否root/越狱、是否VPN、是否群控、是否注入、是否模拟器、是否调试等,配合决策引擎使用,可以实时发现风险,因渠道推广激活场景开发商能获取到的用户数据极少,设备指纹强烈建议接入;
决策引擎
1、激活、注册、登录场景接入风控,在各场景部署基础通用风控维度如识别设备聚集、IP聚集等风险;跨事件调用数据实现联防联控;
2、结合各个场景分别定制不同维度的风控策略,如激活场景IOS设备端风险识别、Android设备端风险识别、同设备多次激活、同设备关联IP行为异常,同IP短时间大量聚集、同一渠道中老设备型号占比异常、同一渠道中老操作系统占比异常等维度;
3、建立本地名单动态运营维护机制,基于激活数据、注册数据、登录数据等,沉淀并维护对应黑白名单数据,包括用户ID、手机号、设备等维度的黑名单;
IP数据服务
黑产在批量操控自动化程序作弊时,为了规避IP防控规则,经常会结合代理IP\秒拨IP工具组合使用,如果仅从频次维度识别IP风险,通常会被漏放,建议结合IP风险库数据匹配,覆盖此类风险IP。