恶意应用“一人一包”传播周期短、不易被识别，360有效对抗日均检出量几十万

传统的对恶意APK样本的检测和识别，通常是通过获取应用下载链拿到APK样本，从而获取应用的包名、签名、MD5等重要信息，通过对恶意APK样本做动态静态分析和同源特征分析，不断丰富样本库。然而，360手机卫士通过长期对恶意应用的传播特点和黑灰产业链的分析研究，发现恶意应用的传播手段出现了重大改变。
从2023年上半年捕获到的冒充公检法、虚假兼职、裸聊敲诈APP类应用在分发平台的下载链，我们发现这些涉诈类APP在分发平台的下载链出现两种情况：第一种，和冒充公检法涉诈样本一样，不同时间、同一下载链下载的应用不同；第二种，不同时间、同一下载链，点击后页面会二次跳转至不同的下载链，下载的应用也不同。“一人一包”逐渐成为主流手法。
恶意应用的制作与分发
结合恶意应用生成的产业上下游，了解一下“一人一包”的制作和分发流程：
首先，APP源码售卖商可以源源不断的供应APP源码，APP生成方把源码部署到服务器上，即可完成从源码到生成APK的环节。根据已掌握的情报，APK的生成主要有两种方式：实时生成、间隔替换，如此APK样本就具备了生成快、迭代快的特点。

360社区

其次，APK主要通过下载链的方式进行分发，分发方式主要有两种：一是使用自有下载链；二是通过分发平台，跳转生成最终的下载链。有些分发平台有检测引擎，可以帮助检测APK是否能通过手机厂商或安全厂商的查杀。一旦APK被查杀，重新更换APK过免杀。

360社区

由于恶意应用从传播、发现、分析、识别需要时间，如此操作，对于以往依靠APK特征进行识别和拦截的安全厂商和手机厂商的防护端来说，可能存在两个问题：一是这样的APK样本传播量小、传播周期短，不易命中拦截特征，厂商不易拿到样本，也无法做同源分析；二是很可能在识别之前就已经换包继续传播了，识别存在滞后。
从黑产情报来看，黑产针对安全厂商、手机厂商做涉诈样本免杀攻防还在升级，一些程序可实现APP自动化生成部署，甚至可自动打包并上架至应用分发平台。通过对应用进行包名、签名更换，实时检测，实时免杀，这类服务在黑产市场价格一般是几千元/月/包。

360社区

但其实不难看出，这样的攻防手法其底层逻辑并不复杂，主要是依靠内容不同更换“马甲”来对抗，通过单一样本（MD5）的快装快换，来降低被发现、被追踪的概率。
恶意应用“一人一包”，360有效对抗日均检出量几十万
“一人一包”，即通过同一链接下载的应用，应用包名、签名不同；通过同一链接、不同时段下载的应用，应用包名、签名也可能不同。这意味着检测方可能无法获取用户下载的APK文件，也可能获取的APK文件与用户下载的应用又不完全一致，这就对传统依赖APK样本检测的方案提出新挑战。
从最初发现的冒充公检法、兼职刷单诈骗使用“一人一包”的手法，发展到现在的色情直播、裸聊敲诈、投资理财等诈骗也在广泛使用，更有黑产利用打包平台、自动化工具批量生成恶意应用形成熟练运作的产业链，这种恶意应用的分发传播手法已成为主流态势。
360手机卫士基于强大的大数据能力和模型构建能力，针对“一人一包”这种现象，利用应用的传播特征构建恶意应用检测引擎，具有检测速度快、检出量高的特点。以色情聊天类恶意应用样本为例，模型引擎上线前后，平均每周上线的样本量从几万增加到几十万，恶意应用样本库不断更新，检测能力大大提升。同时，这种识别和检测能力，也有效覆盖了会议类、小众聊天类、投资类、民族资产解冻等多发高发诈骗类型，对涉诈预警能力也起到强效补充和支撑作用。
来源 360手机卫士服务号