为了吸引更多用户关注，企业纷纷推出各种促销、拉新营销活动，但同时也吸引了依靠薅羊毛、刷单获利的黑灰产团伙的注意。为在短时期内获利，黑灰产会采用各种攻击技术实现批量自动化攻击，改机是最常用的技术之一。

改机是指通过特定技术，修改手机品牌、型号、串码、IMEI、MAC地址等设备信息，从而“伪装”成一台新设备，黑产可借此批量伪造新设备来绕过风控作恶。

威胁猎人《2022年黑灰产业研究报告》提到，目前改机工具主要包括：软件改机、ROM改机、硬件改机，其中ROM改机是最主流、隐蔽、难以被检测的方式，其技术核心原理是通过修改Android源代码改机。

近期，威胁猎人Karma风险情报平台就捕获到一款ROM改机手机——比特指纹手机。该手机能更全面地伪造系统属性，绕过设备指纹的风控策略，防守方很难发现改机风险，黑灰产借此作恶成功的概率更高，其核心优势表现在以下3个方面：

1. 不改硬件就能改机，黑产难露马脚

一般的改机工具，需要修改IMEI、IMSI、硬件序列号、MAC地址等硬件的唯一ID值，才能实现改机。但出于保护用户隐私，在AOSP10之后版本的系统，以上提到的唯一ID值不能再修改，断绝了很多改机工具的“后路”。

比特指纹手机在AOSP11版本系统的源代码基础上进行修改，不用修改以上提到的硬件信息就能改机，相对其他改机工具修改的信息更少，因此露马脚被防守方发现的可能性更低，改机的成功率更高。

2.模拟手机特征属性改机，有效规避风控策略

防守方APP会采集文件、系统的一些特征值，比如某些目录的创建时间、ID值等，辅助计算设备指纹，制定风控策略。而比特指纹手机会针对性地篡改以上提到的信息，帮助攻击方躲避风控策略。

除此之外，比特指纹手机模拟真机细节十分到位，难被风控系统发现是改机，以伪造某手机系统为例：在伪造系统属性时，比特指纹手机全面模拟下方展示的该手机的特征属性（已做打码处理），堪比真机系统。

"ro.xxxx.os.build.display.id","ro.xxxx.os.name","ro.xxxx.os.version","ro.xxxx.product.version","ro.xxxx.product.overseas"

3. 新增备份和还原功能，更贴合黑灰产业务需求

一般的改机工具只有一键改机功能，除此之外，比特指纹手机新增一键备份和和备份还原功能，更贴合黑灰产业务实际需要，其典型应用场景如下：

批量注册账号：使用比特指纹手机的一键新机功能，黑灰产可以快速模拟不同厂商手机的设备参数，绕过设备侧的风控策略，轻松批量注册账号，极大提高了攻击效率。

单台设备批量养号作业：使用比特指纹手机的一键备份和备份还原功能，黑灰产可以快速切换和操作多个账号，辅以自定义的模拟点击脚本，单台设备就能批量养小号，不仅效率高，而且能节省大量的设备采购费用。

为验证以上场景，威胁猎人安全研究员使用比特指纹手机的一键新机功能，多次注册某电商APP的账号，并结合一键备份还原功能，成功在一台比特指纹手机上批量注册账号和批量养号。

注：利用比特指纹手机批量养的账号

一、比特指纹手机技术原理和操作方法

对症下药，才能将问题连根铲除。威胁猎人安全研究员以如下样本为例，研究了比特指纹手机一键新机、一键备份、一键还原功能的技术原理，进而分析针对比特指纹手机改机的最佳处置方案。

1. 一键新机

一键新机是比特指纹手机最核心的功能，其工作原理是：从云端获取新机型信息，将机型信息做成各种各样的配置文件，如内核配置文件、Android framework配置文件等，并定制AOSP源码和Iinux内核源代码。

改机需要修改某设备属性值时，定制化的内核或者Framework会读取解析相关配置文件，以此获取新的属性值加以修改，实现一键新机。

“一键新机”的操作可归纳为三步，如下图所示：

2. 一键备份

完成一键新机后，黑灰产即可执行“业务操作”，例如注册+养号。业务执行完毕后，可以通过比特指纹手机一键备份当前使用的SD卡数据、APP数据等配置信息，方便以后继续操作。

一键备份功能的工作原理是：执行打包命令备份数据目录，将备份数据储存在目录中，以如下样本比为例，他的备份数据保存在：/storage/xxxx/appbackup/xxxx（路径已做打码处理）。

touch /storage/xxxx/appbackup//runtar.txt tar -cvf  /storage/xxxx/appbackup/xxxx/data.tar --exclude=DCIM --exclude=socket_pipe --exclude=lib --exclude=*.socket --exclude=now.txt --exclude=atx-agent.daemon.log --exclude=atx-agent.log /data/data/com.youapp.name  /sdcard/*  /data/data/fun.kitsunebi.kitsunebi4android/*  /data/app/~~xJvrRQqtPB5OfBkmfbU9bA==/com.xxxx.sg-iUHeLpGm8jT9DbxciaAh_g==/oat  /data/system/users/0/settings_ssaid.xml rm -f /storage/xxxx/appbackup/runtar.txtyi

“一键备份”的操作可归纳为两步，如下图所示：

3. 一键还原

一键还原过程与一键新机过程类似，区别在于：

1）无需去云端获取配置信息，而是使用本地保存的配置信息；

2）使用备份的Sdcard数据和APP数据，解压到对应的目录即可。

“一键还原”的操作可归纳为两步，如下图所示：

三、风险处置建议

比特指纹手机很容易被黑产利用改机实施恶意攻击，导致活动吸引来大量没有价值的“沉默用户”，给企业带来损失。

对此，威胁猎人情报专家建议，采取以下方法识别比特指纹手机，再进一步处置，避免风险扩大：

1）检测配置文件。

比特指纹手机运行时，会创建大量的配置文件，企业可以通过检测这些配置文件来识别比特指纹手机，常见的配置文件如下：

/data/system/device_sensors.json 传感器配置文件

/data/system/d1 系统属性配置文件

/sys/devcfg/wifimac wifimac配置文件

2）检测系统服务。

比特指纹手机修改了系统框架层，新增了自己的配置系统服务，通过该服务统一管理各种设备的配置信息，在改机时直接调用配置系统服务，即可获得所需信息。APP可以检测手机是否存在该配置系统服务，来识别比特指纹手机。

3）检测可信ROM。

比特指纹手机修改的信息可能不是很全面，防守方应该在合规的前提下，尽可能多搜集主流ROM的系统属性、硬件类型等信息，再根据这些信息判断APP是否运行在可信的ROM上。

面对高速迭代、日趋成熟、隐匿能力持续升级的改机技术，企业难以从单一技术角度与之正面对抗。威胁猎人的设备风险情报，自动监测ROM改机、软件改机、硬件改机等改机技术，能做到及时发现和分析黑灰产在改机上使用的最新工具和资源情报，助力企业进行针对性防御，快速阻断风险。