今朝，跟着应用市场内应用数量爆炸式的增长，App营销和推广的难度也越来越大年夜，刷榜被广泛认为是一种应用推广的最佳捷径，它可以或许在短期内大年夜幅进步低载量和用户量，进而进步应用的曝光率。曝光率的晋升，带来下载量的激增，而激增的下载量又会包管排名靠前，以此出现出滚雪球式的增长。国内App刷榜市场正慢慢成长强大年夜，并衍生为一条完全的灰色家当链：应用开辟者、刷榜办事商已经形成了一个慎密的构造。
   近日，百度安然实验室发清楚明了一款专用于恶意刷榜的“刷榜客”手机僵尸木马。该木马内嵌与正常应用中，当用户安装词攀类应用后，用户设备即成为“刷榜客”僵尸。”刷榜客”手机木马的工作流程如下：
 
[img]http://img.blog.csdn.net/20150104120817102
 
1、“刷榜客”请求控制办事器获取Google账号、暗码登录信息。控制办事器返回Google登录帐户名及暗码。
2、“刷榜客”获取登录Google账户和暗码后，应用获取到的┞匪号信息，经由过程模仿Google Play协定获取登录授权。
3、获得Google登录授权后，“刷榜客”请求控制办事器获取刷榜指令。
4、“刷榜客”根据刷榜指令，经由过程Google Play下载指定的应用，进行刷榜。
 
感染“刷榜客”手机木马的用户，会被“刷榜党”长途控制实施恶意刷榜，刷榜过程会消费大年夜量的数据流量。大年夜控制办事器信息来看，该手机木马由国内开辟者开辟，因为国内收集的限制，该木马并不针对中国用户。
 
 
一、控制办事器相干功能分析：
 
拜访指令控制办事器，即可直接进入办事器治理界面。办事器供给功能列表如下：
 
[img]http://img.blog.csdn.net/20150104120839156
 
[img]http://img.blog.csdn.net/20150104120849359
 
1、进入“增删改查 用户数据”页面，可以查看、修改、删除办事器已有的Google账号信息。今朝办事器已有上万的Google账号、暗码用于恶意刷榜。
 
[img]http://img.blog.csdn.net/20150104120839269
 
2、进入“增删改查 义务数据”页面，可以新建刷榜义务。
 
[img]http://img.blog.csdn.net/20150104120844901
 
3、进入“导入账户” 页面，可以根据国度，进行批量Google账户，暗码信息上传。
 
[img]http://img.blog.csdn.net/20150104120849830
 
 
二、“刷榜客”手机木马分析
 
1、恶意代码构造图
 
[img]http://img.blog.csdn.net/20150104120854682
 
2、恶意代码分析
 
点击搁笔进入法度榜样后，调用Task.init急速启动相干的刷榜代码：
 
[img]http://img.blog.csdn.net/20150104120854682
 
Task.inti启动TaskService办事
 
[img]http://img.blog.csdn.net/20150104120900594
 
TaskService调用DMainTask.doWork调器具体刷榜逻辑
 
[img]http://img.blog.csdn.net/20150104120905025
 
DMainTask.doWork完成全部的Google账号获取、登录Google Play、获取刷榜指令和根据指令下载Google Play特定应用的义务。刷榜逻辑如下：
 
[img]http://img.blog.csdn.net/20150104120909830
 
Google Play正常应用下载请求流程根本如下描述：
（https://github.com/egirault/googleplay-api/issues/30）
 
[img]http://img.blog.csdn.net/20150104120913792
“刷榜客”手机木马就是经由过程代码协定模仿了以高低载流程，来实现Google Play恶意刷榜。