神秘sdk暗刷百度广告 背后竟是恶意SDK搞鬼

从腾讯安全了解到，腾讯安全反诈骗实验室追踪到暴风影音、天天看、塔读文学等众多应用中集成的某SDK存在下载恶意子包，通过配合js脚本在用户无感知的情况下刷百度广告的恶意操作。

该恶意SDK通过众多应用开发者所开发的正规应用，途经各中应用分发渠道触达千万级用户；其背后的黑产则通过恶意SDK留下的后门控制千万用户，动态下发刷量代码，大量刷广告曝光量和点击量，赚取大量广告费用，给广告主造成了巨额广告费损失。

根据安全人员详细分析，此恶意SDK主要存在以下特点：

1、该SDK被1000+千应用开发者使用，通过应用开发者的分发渠道抵达用户。主要涉及的应用包括掌通家园、暴风影音、天天看、塔读文学等，潜在可能影响上千万用户；

2、刷量子包通过多次下载并加载，并从服务器获取刷量任务，使用加载js脚本实现在用户无感知的情况下自动化的进行刷量任务。

此类流量黑产给传统的广告反作弊带来了极大挑战，传统通过IP、曝光频率、点击率等表象数据形成的反作弊策略难以识别这种控制大量真实设备做肉鸡的刷量作弊，使得大量广告费用流入黑产手中，却无法给广告主带来应有的广告效果。

SDK作恶流程和影响范围

此恶意SDK集成在应用中的那部分代码没有提供实际功能，其在被调用后会定时上报设备相关信息，获取动态子包的下载链接，下载子包并加载调用。然后由子包执行相应的恶意行为。

恶意SDK作恶流程示意图：

受恶意SDK影响的主要应用列表：

恶意SDK作恶行为详细分析

此恶意SDK被众多的中小应用开发者集成，我们以应用塔读文学为例，对其恶意行为进行详细分析。

恶意SDK代码结构