安天移动安全与支付宝发布《app网生平台安全白皮书》

前言

随着移动互联网技术的快速发展和智能终端的普及深圳企业APP开发，用户逐渐从PC端和PC端网站迁移到移动智能终端和移动端网页，导致开发用户的形态和生态也发生了相应的变化和迁移，包括大量iOS原生应用开发的兴起，以及网页对移动终端浏览的适配等这些新变化也对开发开发者提出了更高的要求，开发开发者如何以更低的成本实现应用的跨平台能力，同时满足移动 终端应用分发需求。

在这个背景下，移动除了 ()的开发和分发形式外，还衍生出web ()和 ()两种形式，  形式可以通过开发语言（HTML,）以网页形式实现，不仅满足了开发用户低成本、跨平台的开发需求能力，也可以独立以的形式上市、推广和分发。

下图是app[1]三种形式的对比。

应用生态发展

根据公开资料，该框架被认为是应用程序框架最早的鼻祖之一，也是框架的前身。，以及其他开发框架也已经在iOS应用生态中得到了广泛的应用。

它可能是国内应用框架最早的实践者之一[1]，由正仪无线（北京）科技有限公司公司开发提供。截至目前，已有多家平台提供在线app生成打包服务，甚至包括应用分发、上市、备案、软文发布等一站式服务流程，如（数字乐园） （北京）网络科技有限公司公司）、（鱼子（北京）科技有限公司公司）等。

开发框架的核心主要是实现技术。国内一些在线app生成平台已经能够提供非常丰富的积木功能模块和嵌入式SDK，供开发用户选择。开发甚至只需要提供一个web域名，勾选需要的功能模块，就可以轻松生成一个app应用。

app 构建工具与 app 在线构建平台

这里我们将app生成工具定义为： 开发用户只需少量低成本的代码编写或配置设置，即可通过app生成工具快速打包生成新的应用文件的过程。

我们还结合业界对app生成工具[2]的分类定义深圳移动app开发公司，按照以下维度对生成工具进行评价：

由于 app 在线构建平台可能的行业范围以及与上述 app 构建工具和 开发 框架的混淆，本报告重点关注在线 app 打包构建平台服务，主要为国内企业提供平台式服务，开发通过提供域名地址或少量网页代码实现，覆盖部分高人气个体开发开发' s app打包生成工具，主要app在线生成平台列表见“附录1”。

1个

app在线生成平台的现状

从app的生命周期来看，app在线生成平台满足了开发用户低成本实现跨平台应用的开发需求，一些在线生成平台也帮助开发用户一站式解决应用分发问题。

01

热门app网代平台服务介绍

下面我们以两个主流的app在线生成平台为例，简单介绍一下它们提供的功能和服务。

《》在线生成平台

《》全称公司《数字乐园（北京）网络技术有限公司公司》为开发用户提供，uni-app，uni小程序sdk 、HTML5+、MUI等辅助开发工具帮助开发用户快速低成本制作移动互联网多终端应用。

它提供的功能服务是根据应用程序生命周期的各个阶段进行映射的。

》》申请开发制作相关服务

下图为开发用户在申请开发制作过程中，平台为开发用户提供的相关功能，包括轻简单应用开发制作打包工具，具有嵌入式供应链功能模块的模块化应用程序。

这里我们关注 uni-app 和函数式服务。

uni-app 是一个将 Vue.js 开发 用于所有前端应用程序的框架。开发写了一套网页代码，可以发布到iOS、Web（响应式）、各种小程序（支付宝/淘宝/钉钉/今日头条/QQ/快手/百度/微信）、快应用等平台。

网络请求接入等功能可以通过官方API轻松实现[6]，其丰富的插件市场也可以轻松完成支付、更新升级插件和功能模块等部分集成。

平台社区还提供了丰富的 uni-app开发 模板。开发用户下载相关的开发模板后，通过简单的代码修改即可实现类似的应用。

是将现有的M站（又称手机wap站，区别于PC网站）快速发布到app的增强解决方案。通过该框架，通过简单的配置和必要的编程，即可完成M网站的体验增强，实现原生应用的功能体验，然后作为原生安装包发布。

》》应用分发相关服务

制作平台的应用打包方式包括离线打包和云打包。其中，离线打包是开发下载相关工具，本地打包应用代码制作，云端打包需要开发用户上传相关文件在线生成app应用. 在应用签名方面，开发用户可以选择公开证书或自定义签名证书进行签名发布。

下图为应用打包分发的工具界面。可以看到它还支持生成在线分发页面入口或者放到其他分发平台上。

通过以上两种方案，可以比较方便的完成web到移动app的转换。此外，平台还提供应用分发平台，协助开发用户获取用户。同时提供高速空间、短URL链接、二维码，帮助应用实现便捷的一站式分发。

（申请发布页面示例）

由于平台支持开发用户开发制作一个app并提供应用分发服务，我们更关注其对开发的实名认证和身份用户评论。

安天移动安全发现开发用户在使用大部分功能时不需要进行实名认证，只有在使用部分服务（如uniAD等）时才会需要开发 用户首先要进行实名认证认证。

当应用制作完成打包后，如果申请敏感权限（如访问通讯录），也会需要进行实名认证。如果开发不申请相关敏感权限，如果不进行实名认证也可以进行打包发布相关操作。

不过根据官方论坛用户的反馈，我们也可以发现平台对认证信息的核查并不严格。

》》应用运营相关服务

由于平台为开发用户提供了自己的供应链功能和服务，应用嵌入这些供应链后，可以为开发用户提供app用户相关的运营服务，如图在下图中。

比如推出的集成统一推送服务，内置系统级推送和第三方推送，如苹果、华为、小米、OPPO、魅族等手机厂商。开发用户只需开发一次。系统会自动在不同手机上选择最可靠的推送通道发送推送消息，以保证送达率。

还可以轻松集成uni-AD广告联盟平台，帮助开发用户实现广告投放。

（广告网络平台后台信息截图）

“变色龙”在线生成平台

“变色龙云”是天津变色龙科技有限公司公司的产品，提供在线制作app、微信小程序、app托管等功能。

》》申请开发制作相关服务

开发用户可以通过提供应用名称和URL快速完成一个app 制作，还可以进行一些微调，大大减少了移动应用开发成本。

（app生成示例图）

平台对开发用户申请内容的限制及审核政策如下图所示。

》》应用分发相关服务

申请在国内应用市场上市需要经过上市审核，并提供相应的软资料、域名备案信息等，平台提供app上市服务和版权服务功能。如果您代为申请计算机软件著作权登记证，在系统中填写表格，线下联系客服即可完成相关服务。

其中app上架服务提供安卓和苹果市场应用上架服务，并提供免费初审，提高上架成功率（包括oppo、vivo、华为、小米、用用宝、百度、360和其他应用市场）。

软作者申请：app电子版权、计算机软件版权登记证书申请服务，最快处理时间1天拿证。

app内测分发：上传app文件，自动生成下载链接和二维码，用户扫码即可完成应用的下载安装，同时提供独立下载页面和频道等功能信息统计。这种内测分发服务可以应用在社交网络应用中，通过用户分享和裂变实现分发和传播，也可以直接嵌入网站页面进行应用分发和下载。

平台在后台运行时，也需要实名认证后才能进行应用分发等操作。

》》应用运营相关服务

平台还在应用运行时为开发用户提供了一些特定的服务，例如“防红域名”、域名拦截检测等功能。

02

生成平台应用总体规模及趋势

在对生成平台应用的长期持续关注和检测中，安天移动发现，近五年来，在线生成平台制作打包的应用样本数量呈快速增长趋势。逐年增加。

从生成平台样本的用户规模分布可以发现，大部分使用在线生成平台打包制作的应用都集中在长尾部分。单个应用只有少量用户，86%以上的一代平台相关应用的DAU在100以下。

根据代平台打包的制作应用类别统计，TOP5代平台应用开发依次为生活服务、网购、游戏、影音播放、办公业务。

（生成平台应用类别分布）

我们统计分析了主流在线生成平台制作打包的应用数量。该平台生成的应用数量最多，远超其他生成平台。第二，在流行的生成平台应用中，有一些是通过非正规的在线生成平台生成的应用。

（不同代平台应用数量及用户规模分布）

我们还统计了主流网代平台制作应用的用户规模覆盖情况，如下表所示。

03

网生平台安全问题现状

安天移动安全基于自身的安全感知能力和应用风险检测技术，目前app在线生成平台存在以下安全问题：

1. 网络生成平台被黑灰团伙不同程度地用于开发、制作网络犯罪应用或风险应用。可以说，这些在线生成平台已经成为移动互联网时代网络犯罪的帮凶，它提供的功能和服务大大降低了网络犯罪应用的开发制作成本和时间，而且这种现象一天比一天严重。

2、大部分网代平台都存在开发用户身份审核和申请审核的问题。部分网生平台不对开发用户提供实名认证要求。上传应用内容和功能的审核机制薄弱，甚至不存在。

3、在线生成平台提供丰富的插件功能模块，以及一站式的应用分发服务和上架服务。这些功能服务为中小开发用户提供便利，同时也为黑灰产品开发开发者提供机会，通过积木式的产品功能选择、多样化的分发方式（包括应用商店审查或多个线下分发渠道），以及开发用户在平台上传的应用配置信息和相关代码的加密，将增加对此类风险应用治理的难度。

4、如果app 开发某些特定类别的用户选择了不合适的生成平台生成，也可能引入一些隐私合规风险问题。

以下是我们对主流在线生成平台制作恶意应用和风险应用数量的统计分析。

》》在线生成平台整体恶意样本和风险应用占比

我们对网生平台应用的病毒检出率和风险行为程度进行了分析统计，事实证明网生平台的审核机制存在不少漏洞。

》》网络生成平台恶意风险应用总体分布

# 恶意应用分发

恶意广告类应用占在线生成平台应用的比例高达61%，远超其他类型，说明利用在线生成平台应用实现恶意广告盈利的应用总数最多。

但部分类型的包名占比高达51%，远超其他恶意类型。这种现象在一定程度上表明，在线生成平台应用中的风险应用类型更加碎片化，变化更加频繁。

我们统计了TOP5流行一代平台的恶意应用，其次依次是色情应用、贷款诈骗应用、裸聊诈骗应用、色情广告推送应用、金融造假应用。

# 应用风险类型分布

我们对使用代平台的风险应用进行了统计分析，发现贷款诈骗类应用占比最高，远高于其他风险类型，其次依次为色情、色情、假冒金融平台、投资理财诈骗等。类别，打开多个克隆应用程序。由于生成平台采用低成本、批量化的在线服务制作流程，为风险应用的生成带来了极大的便利。

》》主流代平台恶意样本、风险应用数量及类别分布对比

不同代平台恶意风险应用占比

我们还发现，部分生成平台恶意、风险应用占比较高，个别生成平台基本成为风险、病毒应用的加工生产中心。

不同平台产生的恶意应用类型

不同代平台应用风险类型统计

2个

app在线生成平台案例研究

01

网代平台仿冒应用案例

样本基本信息如下：

应用程序运行并调用本地资源文件，加载微信模板页面，达到仿冒“微信”的效果。

仿冒“微信”程序信息界面截图如下：

02

在线生成平台彩播应用案例

样本基本信息如下：

应用可以直接通过在线生成平台加载网址完成色情漫画app的制作：运行截图信息如下：

它的URL信息在///中声明，通过开源直接加载和运行该URL。

该应用程序还会访问色情韩国漫画网站，这些网站的网页包含色情内容并诱导付款。

03

网游生成平台游戏应用案例

样本基本信息如下：

应用完成从web到移动终端app的快速转换和发布，其URL等配置信息在/apps/io.fhpt./www/ index.html 文件。

最后通过访问获取游戏网站链接，访问游戏网站。

04

网代平台诈骗应用案例

样本基本信息如下：

本应用主要代码功能通过本地html和js代码实现，在/apps//www/index.html。

通过js代码获取通讯录信息和短信信息并上传，窃取用户隐私信息，完成后续勒索的前期数据采集。

通过伪装的虚假接口信息获取用户输入的手机号码信息。

05

利用生成平台攻击互金行业案例

样本基本信息如下：

应用运行截图信息如下：

抓包获取应用URL是

应用通过在线生成平台生成，从/获取配置信息。

解密配置信息：

>>>高度定制面向app生成的框架攻击案例

暗雷是一种新型的黑业诈骗形式，通过色情、刷单等方式诱导用户安装恶意app，并引导用户在app内支付“小额会员费”。看似是一笔“小”款，实则支付了数百元甚至数千元。

移动段安雷的前身其实就是大家熟知的“一元”木马。早在2006年就问世了，移动app覆盖了我们的工作和生活，同时，黑产的技术也在不断更新换代，暗雷的黑产也得到了从PC端转移到移动端。2018年，移动端H5暗雷登场。随着技术对抗的不断升级，暗雷逐渐发展成为最近的暗雷。

对于H5暗雷，通过在app中的三方或四方支付工具的H5页面加载收银机，利用页面元素可覆盖可篡改的特性覆盖支付金额与，让用户看似“小”支付，实际提交大订单。

对于暗矿深圳移动app开发公司，恶意app需要获取悬浮窗、辅助功能等权限。调用三方或四方支付工具app客户端，打开恶意app假小额支付页面，骗取用户支付密码，跳转到假大额支付订单页面，然后通过辅助功能获得控制权，将虚假的小额支付请求页面放在最上面，覆盖真实的大额支付。

以某视频app为例，其运行界面显示会员费为1.99元，但通过实际分析和后台网络请求数据可知，最终支付请求金额为500元。

同时，该代码还使用执行代码对相关H5界面元素进行处理，使用户无法查看到真实的支付界面信息。

隐矿诈骗现已形成完整的产业链。他们有明确的分工。圈内有这样的俚语：船长->平台管理员，渔夫->平台运营商，鱼->受害者，杀鱼/开->诈骗成功，已扣款->支付宝提示有风险支付失败。

船长是专业的技术研发团队。他们负责暗矿客户端和服务器的建设。随着安全对抗的升级，船长们不愿暴露自己，纷纷退居幕后，为下游渔民提供一站式服务。船长使用高度面向定制的app生成框架，生成具有不同app名称和略微不同支付方式的app，以方便不同渔民的渠道分配。如下图，船长搭建了服务管理后台。后台由渔民填写账户信息、收款信息、分成比例和诈骗方式生成渔民独有的隐藏矿山诈骗app，

（一些暗雷app后台生成模板设置）

3个

总结

随着移动互联网技术和智能终端的广泛普及，移动互联网应用场景和媒体形态越来越丰富，app成为重要的流量入口。app混合模型开发，随着各种app生成平台的出现，使各种开发人能够以较低的资本和劳动力成本实现app快速的开发大大缩短了移动应用开发周期，模块化和app在线生成平台的后台支持也节省了后期维护成本。

在流量利益的驱动下，黑灰生产规模化扩张，黑灰生产产业链具有规模化、系统化、可低成本复制的特点。安天移动安全携手支付宝，持续检测分析移动恶意应用、风险应用和移动金融风险。从app开发、资质审核、上市审核、市场运作，市场上已经形成一条服务于app全生命周期的黑灰色产业链，其中app一代平台，这无疑为移动生态安全带来了不容忽视的安全隐患。

移动互联网生态的良性有序发展，离不开相关行业规范和标准的引导，离不开对海量发现和技术手段的管理和约束。app生成平台具有开发技术门槛低、成本低、跨平台适配等特点，可以满足很多中小企业的实际需求，不应该是一个黑灰制作作恶的工具。

app网代平台应明确app安全规程，加强app安全审计，从源头上防范风险app进入市场。对于商业模式转型引入的增值服务，如软件版权代理、应用上市等，应严格执行app安全评估，不为风险app提供便利获取相关权证或上市，在规范自身运营的同时助力良性有效的生态建设。