背景

Google审核日益严格,很多包都会因为各种原因被拒,推广线下包也就成了PlanB

但在设备上直接安装apk,又会遇到另一个问题:报毒

报毒后,推广成本大大增加,用户安装意愿大大降低.

为什么一个apk会被标记成病毒呢.

1.为什么apk被报毒

就是你的apk里面包含病毒信息,或你的apk已经在病毒库里,安装时,病毒库直接告知系统有病毒

1.1 静态特征

静态特征主要是apk文件里的代码,资源,so,权限等静态文件或代码,当三方平台确定某些代码或文件为病毒,apk里只要包含了这些,就会认为包含病毒.

1.2动态特征

动态特征主要是在代码层面,有些用户会对自己的项目进行混淆在出包,但有时被标记的是执行逻辑,即使改了名字,运行逻辑汇编层面,都是一样的.

1.3 其他

比如Google手机安装线下apk时,会检测签名是否是Google商店上注册的签名.
还有可能被用户举报,然后被标记

2 如何解决被标记成病毒

2.1 解决静态标记

静态标记处理,只要将包的静态文件处理为不一样的就行,代码每次做混淆,文件进行加密,去除敏感权限.等

2.2 解决动态标记

在2.1的基础上,再在一些关键运行地方,插入垃圾代码,运行逻辑就会不一致

2.3 其他处理

只能见招拆招,比如Google检测签名报毒说非正规应用,那就用线上包的签名进行签名,上几个白包,线下用其签名就行.

至于被用户举报,然后被标记,这种最好优化App内容,处理用户遇到的问题,减少被举报.当然,还有下面这种方式曲线救国.

3 高端处理,防标记

除了上述处理外,还可以进行高端操作.

3.1 为什么被标记

大家都知道,那些病毒库都会有机器学习能力,同一个包一直被检测,多次被用户举报,多了就会被标记,轻则部分代码被标记入库,重则apk的MD5直接入库

3.2 如何解决

如果,每个用户安装的包都完全不一样,那安装时检测的包,被举报的包,根本没有关联,那相当于我的apk有千千万万分身,它标记的也只是其中一个分身而已.

3.3 如何实现

分析
1.保证每个用户下载的包不一样,(仅几个用户下载包一样)
2.实现1,需要每个包包名不一样,所以App内容不能跟包名绑定,能支持换包名.
3.要保证每次的包代码资源so都不一样,所以每次需要混淆
4.要保证每次的包运行逻辑不一样,所以每次都要插入不同的垃圾代码.

3.3 结果

经过上述处理,可以自动每几分钟生成新包,即使被标记,几分钟后的用户下载的又是全新的包,标记还没新包生成快.

目前已实现上述各个步骤,并实现了全自动化.
基本没在出现被报毒的情况.
亲测有效.

检测apk是否报毒网站

virustotal
Google,Facebook等都比较信赖的网站,被其检测出来有病毒,国外难推广

腾讯安全实验室
国内常用检测机构

工具地址

安全工具-Mac版-下载地址-下载速度中

安全工具-Mac本地版-百度网盘下载地址-下载速度看是否有会员

本地软件版，不会上传原包任何信息至服务器，本地处理。提供自动化脚本调用。
使用方法：
1.登录账号（测试账号：jiagu-test-pro 密码：jiagu-test-pro）（注，测试账号加固的包有时效限制，勿正式发布）
2.点击选择需要加固的包（路径不能包含空格等特殊字符）
3.没有签名就勾选自动签名

点击 begin 会出现加载图片卡死的现象，别着急，这是在进行加固。静静等待即可。

联系作者

如有疑问联系作者