前言
隨著移動互聯網技術的快速發展和智能終端的普及,用戶逐漸從 PC、PC 端網站向移動智能終端及移動端網頁遷移,導致應用程序的形態和應用開發者生態也隨之出現變化和遷移,包括 、iOS 原生應用開發的大量興起,網頁對移動終端瀏覽呈現的適配等。這些新的變化也對開發者提出了更高的要求,開發者如何以更低成本的實現應用程序的跨平臺能力,同時能夠滿足移動終端應用的分發需要。
在此背景下,移動終端 APP 除了原生應用() 的開發和分發形態以外,還衍生出網頁應用() 和混合應用() 兩種形態,混合應用形態通過網頁形式的開發語言(HTML、)即可實現,既滿足了應用開發者低成本和跨平臺能力的開發訴求,又可以以獨立 APP 的形式進行應用上架、推廣和分發。
下圖是三種形態 App 的對比[1]。
應用生態發展
公開資料顯示,框架被認為是 應用框架最早的鼻祖之一,也是框架的前身。,等 開發框架目前也已被廣泛應用于 、iOS 應用生態。
可能是國內最早一批 應用框架的實踐者之一[1],是由正益無線(北京)科技有限公司開發提供。發展到現在,已經有一批提供在線 APP 生成、打包服務的平臺,甚至還包括了應用分發、上架、備案、軟著等一站式服務流程,如(數字天堂(北京)網絡技術有限公司)、(柚子(北京)科技有限公司)等。
開發框架的核心主要是實現 技術,有些國內在線 APP 生成平臺已經能夠提供非常豐富的積木式功能模塊和內嵌 SDK 來供開發者選擇,開發者甚至只需要提供一個網頁域名,勾選需要的功能模塊,就能夠很方便地生成一款 APP 應用。
APP生成工具vsAPP 在線生成平臺
這里我們定義 APP生成工具為:開發者通過APP生成工具,只需要極少量、低成本的代碼編寫或者配置設置,就能夠快速打包生成新的應用文件的過程。
我們也結合了業界對 APP 生成工具的分類和定義[2],并按以下幾個維度來評估生成工具:
由于業界可能對 APP 在線生成平臺的范圍界定不同,并且與上述APP 生成工具和開發框架相混淆,本報告主要關注在線APP 打包生成平臺服務,其主要以國內的企業提供平臺式服務,開發者實現方式是通過提供一個域名地址或者少量的網頁代碼,以及覆蓋了部分流行程度較高的個人開發者開發的 APP 打包生成工具,主要的 APP 在線生成平臺列表見“附錄一”。
1
APP在線生成平臺現狀
我們從 APP 的生命周期角度來看,APP 在線生成平臺滿足了應用開發者低成本實現跨平臺應用的開發需求,并且部分在線生成平臺還幫開發者一站式解決應用分發的問題。
01
流行APP在線生成平臺服務介紹
下面我們以兩個主流APP在線生成平臺為例簡要介紹其提供的功能和服務。
“”在線生成平臺
“”公司全名為“數字天堂(北京)網絡技術有限公司”,其為開發者提供包括、uni-app、uni小程序sdk、HTML5+、MUI、等多個輔助開發工具,幫助開發者快速、低成本制作移動互聯網多端應用。
其提供的功能服務按照應用生命周期階段進行映射。
》》應用開發制作相關服務
下圖所示為 平臺向開發者提供的在應用開發制作過程中的相關功能,其中包括輕便簡要的應用開發制作和打包工具,模塊化的應用內嵌供應鏈功能模塊。
這里重點介紹下uni-app和功能服務。
uni-app 是一個使用 Vue.js 開發所有前端應用的框架,開發者編寫一套Web代碼, 即可發布到iOS、、Web(響應式)、以及各種小程序(支付寶/淘寶/釘釘/頭條/QQ/快手/百度/微信)、快應用等多個平臺。
通過官方提供的api[6]可以很方便實現諸如網絡請求訪問等功能,同時其豐富的插件市場也可以很方便的完成一些諸如支付、更新升級插件和功能模塊的集成。
平臺社區還提供了豐富的uni-app開發模板,開發者下載相關開發模板后,進行簡單的代碼修改就能實現一款類似的應用。
是一個將現有M站(也稱手機wap站,區別于pc的web站)快速發布成 App 的增強方案,通過 的 框架,進行簡單的配置和必要的編程,即可完成M站的體驗強化,達到原生應用的功能體驗,進而再發布為原生安裝包。
》》應用分發相關服務
平臺制作的應用的打包方式包括了離線打包和云打包兩種,其中,離線打包為開發者下載相關工具,在本地對應用代碼進行打包制作,云打包則是需要開發者上傳相關文件在線生成 APP 應用,在應用簽名方面開發者可選用公共證書或者是自定義簽名證書進行簽名發布。
下圖所示為應用打包和分發的工具界面,可以看到,其還支持生成線上的分發頁面入口或者投放到其他的分發平臺。
通過上述兩種方案,均可以比較便捷的完成從web到移動APP的轉化,另外平臺還提供應用發行平臺,協助開發者獲取用戶。同時提供高速空間、短網址鏈接以及二維碼等形式,幫助應用實現便捷地一站式分發。
(應用發布頁面示例)
由于平臺支持開發者開發制作一款 APP,并提供應用分發服務,那么我們比較關注其針對開發者的實名認證和身份審核。
安天移動安全發現,開發者在使用大部分功能時無需進行實名認證,只有在使用 部分服務(如、uniAD等)時會要求開發者先進行實名認證。
在應用制作完成打包時,如果申請了敏感權限(如獲取通訊錄),也會要求實名認證,如開發者沒有相關敏感權限申請,在不進行實名認證的情況下也可以完成打包發布相關操作。
但我們根據官方論壇用戶反饋的信息也可以發現平臺存在認證信息審核不嚴格的情況。
》》應用運行相關服務
由于 平臺向開發者提供了其自身實現的一下供應鏈功能和服務,所以在應用內嵌了這些供應鏈后,就能向開發者提供APP 用戶相關的運營服務,如下圖。
例如是推出的集成型統一推送服務,內建了蘋果、華為、小米、OPPO、魅族等手機廠商的系統級推送和個推等第三方推送。開發者只需要開發一次。系統會自動在不同手機上選擇最可靠的推送通道發送push消息,保障送達率。
uni-AD廣告聯盟平臺,也可以很方便的集成,幫助開發者進行廣告變現。
(廣告聯盟平臺后端信息截圖)
“變色龍”在線生成平臺
“變色龍云”為天津變色龍科技有限公司旗下產品,提供在線制作APP、微信小程序、APP托管等功能。
》》應用開發制作相關服務
開發者通過提供應用名稱及網址即可快速完成一個APP的制作,還可以進行一些精細化的調整,極大的的降低了移動應用開發成本。
(APP生成示例圖)
平臺對開發者應用內容的限制與審查策略如下圖所示。
》》應用分發相關服務
國內應用市場的應用上架需要經過上架審核,并提供對應的軟著材料、域名備案信息等。該平臺提供APP上架服務、版權服務功能。如代申請計算機軟件著作權登記證書,相關服務在系統填寫表格后客服線下聯系溝通完成。
其中,App上架服務提供應用上架安卓與蘋果市場服務,并提供免費的前期預審,提高上架成功率(包括oppo、vivo、華為、小米、應用寶、百度、360等應用市場)。
軟著代申請:App電子著作權,計算機軟件著作權登記證書代申請服務,加速辦理最快1天拿證。
APP內測分發:上傳APP文件,自動生成下載鏈接與二維碼,用戶通過掃碼即可完成應用的下載安裝,同時也提供獨立下載頁及渠道信息統計等功能。這種內測分發服務能夠應用于在社交網絡應用中通過用戶分享裂變的方式實現分發傳播,也能夠直接嵌入到網站頁面進行應用分發下載。
平臺在后臺操作時也需要進行實名認證后才能進行應用分發等操作。
》》應用運行相關服務
平臺也針對開發者提供了一些應用運行時特有的服務,例如“域名防紅”,域名攔截檢測等功能。
02
生成平臺應用整體規模及趨勢
在對生成平臺應用的長期持續關注和檢測中,安天移動安全發現,近五年來,在線生成平臺打包制作的應用樣本數量呈現逐年迅速上升趨勢。
基于生成平臺樣本的用戶規模分布情況可以發現,絕大部分使用在線生成平臺打包制作的應用集中在長尾部分,單一應用只有很小的用戶量,86%以上的生成平臺相關應用的日活在100以下。
對生成平臺打包制作的應用進行品類統計,TOP5的生成平臺應用開發者類型依次是生活服務、網上購物、游戲、影音播放和辦公商務。
(生成平臺應用品類分布情況)
我們對主流在線生成平臺打包制作的應用數量進行統計分析,平臺生成應用數量最多,并且遠超出其他的生成平臺,其次為,在流行的生成平臺應用中,部分是通過非正規的在線生成平臺生成的應用。
(不同生成平臺應用數量和用戶規模分布)
我們也統計了主流在線生成平臺所制作應用的用戶規模覆蓋情況,如下表所示。
03
在線生成平臺安全問題現狀
安天移動安全基于自身安全感知能力和應用風險檢測技術發現,當前 APP 在線生成平臺存在如下幾個安全問題:
1. 在線生成平臺不同程度上都被黑灰產團伙用于開發、制作網絡犯罪應用或者風險應用,可以說,這些在線生成平臺已經淪為移動互聯網時代網絡犯罪的幫兇,其提供的功能和服務極大降低了網絡犯罪應用的開發制作成本和時間,并且這種現象日趨嚴重。
2. 在線生成平臺大都存在應用開發者身份審查和應用審查的問題,部分在線生成平臺未提供開發者實名制認證要求,部分在線平臺對開發者身份和上傳應用內容、功能的審查機制薄弱,甚至是形同虛設。
3. 在線生成平臺提供豐富的插件式功能模塊,以及一站式的應用分發服務和上架服務,這些功能服務為中小開發者提供便利的同時,也為黑灰產開發者提供了可乘之機,其通過積木式的產品功能選擇,多樣性的分發方式(包括應用商店上架審核或者線下多種分發渠道),以及平臺對開發者上傳的應用配置信息和相關代碼的加密易語言網頁游戲輔助模塊,都會造成對該類風險應用治理難度的增加。
4. 一些特定品類的 APP 開發者如果選擇了不當的生成平臺生成,其還可能引入一些隱私合規類的風險問題。
下面是我們對主流在線生成平臺制作的惡意應用和風險應用數量統計分析的情況。
》》在線生成平臺整體惡意樣本和風險應用數量占比
我們對在線生成平臺應用的病毒檢出率和風險行為程度進行分析統計,事實證明在線生成平臺的審查機制存在很大的漏洞。
》》在線生成平臺整體惡意和風險應用品類分布
# 惡意應用分布
在線生成平臺應用中惡意廣告應用的占比多達61%,遠超過其他類型,表明利用在線生成平臺應用實現惡意廣告牟利的應用總數量最為普及。
但其中的類型的包名占比高達51%,遠超過其他惡意類型,這個現象一定程度上說明了在線生成平臺應用中的風險應用類型呈現出更加碎片化,變更頻度更快的現象。
我們對 TOP5流行的生成平臺惡意應用進行統計,依次是色情應用、貸款詐騙應用、裸聊詐騙應用、色情廣告推送應用、金融仿冒應用。
# 應用風險類型分布
我們對使用生成平臺的風險應用進行了統計分析,發現貸款詐騙類應用占比最高,遠高于其他風險類型,其次較多的風險類型為色情、色播類、仿冒金融平臺類、投資理財詐騙類、多開分身類應用。因生成平臺低成本、批量化的在線服務制作流程,給風險應用的生成帶來了極大的便利。
》》主流生成平臺的惡意樣本、風險應用數量和品類分布對比
不同生成平臺的惡意和風險應用數量占比
我們也發現部分生成平臺存在較高的惡意和風險應用占比,個別生成平臺已基本淪為風險和病毒應用的加工生產中心。
不同生成平臺惡意應用的類型占比
不同生成平臺應用風險類型統計
2
APP在線生成平臺案例分析
01
在線生成平臺仿冒應用案例
樣本基本信息如下:
該應用運行調用本地資源文件,加載微信模板頁面,達到仿冒“微信”的效果。
仿冒“微信”程序信息界面截圖如下:
02
在線生成平臺色播應用案例
樣本基本信息如下:
應用通過在線生成平臺直接加載網址即可完成一個色情漫畫APP的制作:運行截圖信息如下:
其網址信息在///中聲明,通過開源直接加載url運行。
應用還會訪問色情韓漫網站,網頁包含色情內容,并誘導付費使用。
03
在線生成平臺博彩應用案例
樣本基本信息如下:
該應用通過完成web向移動端app的快速轉換和發布,其網址等配置信息在/apps/io.fhpt./www/index.html文件中。
最終通過訪問獲取博彩網址鏈接,訪問博彩網站。
04
在線生成平臺詐騙應用案例
樣本基本信息如下:
該應用主要代碼功能通過本地的html和js代碼實現,在/apps//www/index.html中。
其通過js代碼獲取通訊錄信息和短信信息進行上傳,竊取用戶隱私信息,以完成后續勒索行為的前期數據收集。
通過偽裝的虛假界面信息獲取用戶輸入的手機號碼信息。
05
利用生成平臺對互金行業的攻擊案例
樣本基本信息如下:
該應用運行截圖信息如下:
抓包獲取應用網址是
該應用通過在線生成平臺生成,運行從/中獲取配置信息。
解密后的配置信息:
>>>高度定制化的APP生成框架攻擊事件案例
暗雷是一種新型的黑產詐騙形式,其通過色情、刷單等方式誘導用戶安裝惡意APP,并引導用戶在APP內支付“小額會員費”,用戶看似“小額”支付易語言網頁游戲輔助模塊,實則支付了數百甚至上千元。
移動端暗雷前身其實是知名的“一元”木馬,它早在2006年問世,隨著移動APP覆蓋我們的工作、生活,同時黑產技術不斷更新換代,暗雷黑產也從PC端轉移到移動端。在2018年出現移動端H5暗雷,隨著技術對抗的不斷升級,暗雷近期漸漸向暗雷發展。
對于H5暗雷,在APP內通過加載三方或四方支付工具的H5頁面端的收銀臺,利用了頁面元素可以被遮蓋和篡改的特性,將支付金額覆蓋,達到用戶看似“小額”支付,實則提交大額訂單。
對于暗雷,惡意APP需要獲得懸浮窗、輔助功能等權限,其通過喚起三方或四方支付工具的APP客戶端并在端內打開惡意APP偽造的小額支付頁面,該頁面可以騙取用戶支付密碼和并跳轉到偽造的大額訂單頁面,隨后通過輔助功能拿到控制權,將偽造的小額支付請求頁置頂,覆蓋真實的大額支付。
以某視頻APP為例,其在運行時界面顯示支付金額為1.99元的會員費,但通過實際的分析和后臺網絡請求數據可以看到,最終發起的支付請求金額為500元。
同時代碼中還有使用執行代碼對相關H5界面元素的處理操作,使用戶不能查看到真實的支付界面信息。
暗雷欺詐目前已形成完整的產業鏈,他們分工明確,在圈內有著這樣的黑話:船長->色軟平臺管理員,漁夫->平臺運營者,魚->受害者,殺魚/開->欺詐成功,控了->支付寶提示風險支付失敗。
船長為專業的技術研發團隊,他們負責實現暗雷客戶端以及服務端的構建,隨著安全對抗升級,船長們不愿意暴露自身,因此退居幕后,為下游的漁夫提供一條龍服務。船長使用高度定制化的APP生成框架生成不同APP名稱以及支付方式存在些許差異的APP以方便不同漁夫的渠道分發。如下圖所示,船長構建了服務管理后臺,在后臺中漁夫填寫賬戶信息、收款信息、分成比例以及欺詐方式便可生成漁夫獨有的暗雷欺詐APP,便于后期的分發。
(某暗雷APP后臺生成模板設置)
3
總結
隨著移動互聯網技術和智能終端的廣泛普及,移動互聯網應用場景和媒體形態日益豐富,APP成為流量的重要入口。 App混合模式開發,以及伴隨著各類APP生成平臺的出現,使得各類開發者能夠以低資金與人力成本投入實現APP的快速開發,極大程度上縮減了移動應用開發周期,同時模塊化及APP在線生成平臺的后端支持也節省了后期的維護成本。
在流量利益的驅使下,黑灰產出現大規模擴張,黑灰產產業鏈已經具備規模化、體系化特點,可低成本復制。安天移動安全聯合支付寶在針對移動惡意應用,風險應用和移動金融風險的持續檢測和分析時發現,從APP開發、資質審核、上架審核,再到市場運營,目前市場上已經形成了服務于APP全生命周期的黑灰產業鏈,其中就包括APP生成平臺,這些生成平臺無疑為移動生態安全帶來了不可忽視的安全隱患。
移動互聯網生態良性有序發展離不開行業相關規范和標準的引導,以及海量發現、關口前移的技術手段進行治理和約束。APP生成平臺具備開發技術門檻低、成本低、跨平臺適配等特點,能夠滿足很多中小企業的實際需求,不應該成為黑灰產作惡的工具。
APP在線生成平臺應明確APP安全規范、加強APP安全審核,從源頭上阻止風險APP進入市場,對于業務模式轉型引入的增值服務,如軟件著作權代辦、應用上架等,更應嚴格執行APP安全性評估,不為風險APP取得相關權證或上架提供便利,規范自身運營的同時助力良性、有序移動生態的構建。
參考鏈接:1.%20app/.3.4.5.6.
附錄一:主要APP 在線生成平臺列表
平臺名稱
平臺開發者信息
官方網址
云打包
河南云打包網絡科技有限公司
柚子(北京)科技有限公司
深圳市易天互聯網絡科技有限公司
不凡APP
福建大凡網絡科技有限公司
正益移動互聯科技股份有限公司
數字天堂(北京)網絡技術有限公司
變色龍云
天津變色龍科技有限公司
應用公園
深圳市致宇天承科技有限公司
香蕉云編
廣州市想說電子商務有限公司
一門APP
成都一門信息技術有限公司
26ge
溫州留林信息科技有限公司
奇速平臺
上海書懷網絡科技有限公司
史江斌(個人)
未找到公司關聯信息
h5apk
券表妹(廈門)科技有限公司
信諾通聯
北京信諾通聯科技有限公司
輕打包
鄭州艾迪兒網絡科技有限公司
叮當應用
南京厚建云計算有限公司
力譜云
上海力譜宿云信息科技有限公司
多豆云
重慶多豆科技有限公司
第八區
福建喜佳寶網絡科技有限公司
會搜云
杭州會搜科技股份有限公司
北京中興匯智計算機系統技術有限公司
愛米網
北京效果無限傳媒信息技術有限公司
北京云球創新文化有限公司
掌商科技
莞市掌商信息科技有限公司
APP工坊
張申()
開心APP
東莞老表網絡科技有限公司
亥著平臺
安徽徒鴿網絡科技有限公司
.io
海外
.io
海外
海外
海外
海外
海外
海外
海外
海外
2 APK
海外
海外
海外
海外
海外
Appy Pie
海外
.io
海外
海外
, S.L.
海外
