查看: 4523|回复: 0
蜻蜓FM涉嫌如何诈骗投资人和广告主源代码剖析
论坛徽章:0
本帖最后由 cryfish2015 于
13:46 编辑
蜻蜓FM是一款音频app，最近我反编译了他的源代码，主要原因是最近有篇文章：不过蜻蜓FM大量的删帖很多已经死链了，太无耻！还活着的链接：蜻蜓造假黑科技新闻充满着好奇，黑科技是怎样做到的呢？？
看了蜻蜓FM的源代码，先总结一下它整个的工作原理：后台偷偷启动进程，开到让用户电量飞奔的最大限度，使得神蜻蜓FM在后台永活，作为android的我终于顿悟：为嘛老子的电量老是会这么快用完。永活的蜻蜓FM，会定时地执行“普罗米修斯神逻辑”，就是狂刷每日活跃用户数，秘密就是：打开用户看不到的透明界面，即使是用户在闭屏状态，这个神界面也会打开。“普罗米修斯神逻辑”执行时会给我们公正的第三方数据公司，发“用户打开了蜻蜓FM应用”这条通知，结果，第三方数据统计里，日活又加一个。蜻蜓FM接着将他的日活数据给到投资人，看看俺的1000万DAU，比QQ音乐还牛逼，砸个几亿吧。悲催的投资人，掏出了大笔的钞票给一个骗子。
作为一个Android程序员，实在是看不惯这种行为，也提醒第三方数据公司和投资人，防止一些像蜻蜓FM这样无耻的创业公司欺骗大家。
&service android:name=&.NotificationService& android:process=&:notification&& &intent-filter&& &&&&action android:name=&fm.qingting.qtradio.NotificationService& /&& &&&&category android:name=&android.intent.category.DEFAULT& /&& &&/intent-filter&&/service&复制代码
看zeus类源代码Zeus类里面主要新建了一个WebView（浏览器）对象，好像这并没有什么问题，但是你仔细观察发现，这个神奇的Zeus类，它并没有把webview对象添加到任何可见化界面上，比如常见的Activity/Fragment等。 那它为什么要在后台内存中放一个webview呢？要知道android的webview本身实现的并不好，存在大量的bug，开发过android的程序员大概都知道这点。这东西，耗电，耗内存。 继续分析，我发现两个关键函数setZeusUrl()和startZeus()，两个函数的实现如下：看到这个我都惊呆了，原来伟大的宙斯是用来在后台偷偷的打开网页链接的。打开的网页链接用户还是看不到的。那他为什么要这么做呢，对蜻蜓FM又有什么好处呢？蜻蜓FM用一个看不见的浏览器打开广告主的网站，接着用程序模拟用户行为点击。广告的展示率和点击率，顿时提高了一个数量级，原来广告商的钱也这么好骗！ 看到这里，我真是佩服蜻蜓FM的老板，销售，产品，程序员，你们确实很聪明，我怎么就没想到呢？聪明的人赚钱真的很容易，违法么，不知道，我们改天都投递简历到蜻蜓吧，涨姿势。悲催的DoubleClick等广告数据监测公司都被这位亲密的伙伴蒙在鼓里，要阻止这样的流氓公司，广告主纷纷站起来说臣妾做不到啊，臣妾不给你上了！ DoubleClick是美国一家网络广告服务商，主要从事网络广告管理软件开发与广告服务，对网络广告活动进行集中策划、执行、监控和追踪。随时宙斯源码阅读的进一步深入，我越来越不敢相信自己的眼睛，我们再来看看他们给第三方广告公司(比如秒针、AdMaster之类)发送数据的类ThirdTracker，同样有惊人的发现。 ThirdTracker里面有给各大第三方广告公司发送数据的代码逻辑，如下：从上图一看，各大第三方广告数据公司齐聚宙斯系统，我们和骗神蜻蜓FM一起创造世界吧。我们再来看看这些广告是怎么被蜻蜓FM触发启动的：这个方法的调用者为RootNode类的onClockTime方法（闹钟 吐槽:这位开发兄弟，你能不能不起这么直白的名字，你老板的内裤都被你暴露了），但从这个方法的名字来看，就感觉这个类有问题，是不是每间隔一段时间，后台偷偷给广告商发送数据呢？onClockTime调用者为ClockManager的dispatchClockEvent方法，如下：那dispatchClockEvent方法又是谁调用的呢？大家捂好小心脏，见证奇迹的时刻到了，宙斯也是永活的：宙斯真是名副其实，从富有的广告主那里拿到了钱，做成了完美的盈利模式。报表给投资人一看，完美！蜻蜓FM你就是明天的BAT啊！你是宙斯，你创造了中国互联网未来的“神话”，广告主和投资人就任你欺骗，任你玩，你要把中国移动互联网做成什么样的模式！
第一步首先我们直接用一个解压apk（开发过android应该知道apk其实就是个压缩文件）,解压之后拷贝出里面classes.dex文件待用。
第三步*下载JD-GUI(反编译jar神器)，最新版下载链接JD-GUI下载
*解压之后，双击打开，直接把上一步得到的的classes-dex2jar.jar文件直接拖入JD-GUI里面，你就可以随意查看蜻蜓的源码了。
Summary蜻蜓FM的Android程序员难道你们的节操都碎了么？？没有节操的你们确实很文艺--普罗米修斯，宙斯，还有阿波罗，你们是神一样的团队！ 史上最牛逼造假App蜻蜓FM神一般的数据造假手段，让投资人和广告主欲哭无泪，让中国整个互联网都涨姿势了。
github 链接，有兴趣童鞋可下载apk和源代码亲自体验：
/cryfish2015/QingTingCheat
github项目
itpub.net All Right Reserved. 北京皓辰网域网络信息技术有限公司版权所有　　　　
　北京市公安局海淀分局网监中心备案编号：　广播电视节目制作经营许可证：编号（京）字第1149号各类APP竞争激烈 刷日活潜规则的背后_十大品牌网
摘要：一到年底，很多APP软件公司就会刷量，为此刷量QQ群一搜就能发现一大堆，很多游戏、应用类的交流群也都演变成了APP刷量需求群了。为冲榜而找渠道刷量的情况依然存在，只是另一个潜规则被浮上水面：APP开发者为刷日活和广告主动内嵌了相关程序代码。
“年底了，很多公司都刷量，会有些忙。”当记者伪装成APP开发者询问刷量的问题时，某位自称为iOS和谷歌冲榜、ASO优化的负责人这样回答。
这种人很好找，搜刷量QQ群就能发现一大堆，很多游戏、应用类的交流群也都演变成了刷量需求群了。为冲榜而找渠道刷量的情况依然存在，只是另一个潜规则“被”浮上水面：开发者为刷日活和广告主动内嵌了相关程序代码。
令人惊讶的是，记者在调查中发现，这些潜规则存在由来已久，包括创业者和投资人在内的行业人士几乎没有不知道的，只是相对于已经暴露很久的刷下载、刷激活而言，刷日活这个潜规则是因为蜻蜓FM和喜马拉雅FM的“撕逼”才暴露在公众面前。
在这潜规则之后，隐藏着怎样的问题？
谁在推动刷日活？
2015年本该属于电商的，却被互联网音频领域的蜻蜓FM和喜马拉雅FM占据了头条。来自知乎用户分享的代码信息显示，蜻蜓FM有存在伪造日活和盗刷广告量的行为。对此，蜻蜓FM指责是有人恶意诽谤和造谣中伤，并表示不会去用这种方式伪造日活数据；紧接着码农门就扒出了喜马拉雅FM作弊的全过程。
盗刷广告量是为了创收，那么刷日活又是为了什么？
对此，记者询问了一位第三方应用商店的工程师，该人士表示，其实APP刷量不是什么小秘密，有些创业者可能需要给投资人一个好看的数据或是规定了一定数量的留存，就会导致刷日活现象的存在。
“其实这些投资人也知道这个问题，甚至有投资人会暗示在程序里加入相关代码。”一位不愿署名的创业者如此向记者描述，“他们默许甚至鼓励的原因，就是希望能有好的数据出来给下一轮投资人看，他们才好退出。”
这与以往被曝出的刷下载、刷激活现象存在原因有些类似，而相对于刷下载、刷激活而言，刷日活对于创业者而言似乎更为便利。
“APP刷日活不需要找第三方，应用开发者自己就可以做。比如在后台设置一个触发机制，每12个小时启动一次，或者单独跑一个进程，模拟人在使用，发送给第三方数据平台。”某应用产品经理这样向网易科技表示。
对于这样的“自启动”设置，网易科技记者向猎豹移动工程师李铁军咨询是否会存在安全隐患。其表示，如果只是启动一次、回传活跃数据的话，这个数据量是可以忽略不计的，用户几乎不会感知到，也不会涉及到安全隐患和隐私泄露的问题；但是，如果在后台下载音乐、视频、软件、广告才会消耗较多流量。
不过，李铁军也提醒，即使只回传活跃数据不会消耗流量，但频繁自启会消耗电量。
劣币驱逐良币的刷量产业链
刷日活、刷下载、刷激活组成了刷量产业链。
据网易科技了解，刷量已经形成了一个产业，尤其是一些要“出海”的应用。“很多出海应用的第一步就是提高在GooglePlay的下载量。所以会在前期投入不少钱，引流到应用商店下载。有一个推广联盟就是专门这件事儿的。”一位应用商店人士表示。
来自友盟的相关负责人则告诉记者，目前Android和iOS两大平台中，Android刷量现象比较普遍。
这是因为Android是开放平台，允许开放的权限比较多，很多刷量的企业就是将这些权限稍加利用了而已。另外，由于是开放平台，上架第三方应用商店标准比较低，只是检测有没有病毒，是否有恶意程序，这样的作弊方式很难检测到。
“谈到应用商店等渠道，我之前公司的BD（商务拓展）每个月在结算时，都要分成70%给渠道，而这70%的量很有可能是刷出来的，一些大的渠道商比如百度手机助手、腾讯手机助手等数据问题不大，主要是一些小渠道有问题。”某应用负责人表示，“渠道给应用刷量，骗应用BD的钱，应用BD再拿这些数据骗老板，老板再来骗投资人，就是这样一个过程。”
据了解，应用下载后也有专门的公司负责激活，在iOS平台上，游戏类激活一个需要5-8元；应用的话需要2-3元。Android平台上，游戏类激活费用大概在1-10元不等，这个要根据游戏的知名度来划分，应用的话0.8元-2元不等。
“很多游戏刷量或刷榜真的会起到作用。因为排名靠前，用户会跟风下载，后期会呈现很自然的增长。”上述人士向网易科技透露。
某刷榜负责人给了记者一个报价：免费榜价格前50名大约需要3.6万；51-75需要3万；76-100名需要2万。国内iOS付费榜TOP5需要6万；TOP10的费用是5万；TOP20的费用为4万；TOP30费用3万，而且是预付。
您可能关心的：
文章来源：
行业精彩推荐
月关注排行榜
最新加入文章
最新加入文章
十大数据是企业品牌信用指数（见会员等级和服务）以及几十项数据统计计算真实呈现的结果，无需企业申请申报，不存在评定评选的过程，企业不需要交纳任何费用，无偿服务于广大消费者 |
本页面内容不代表十大品牌网观点或支持购买，仅提供参考使用 | 查询数据是为了消费者选购到市面上最好的品牌(品牌消费)，不是认定认证，不是竞价排名，不是表彰评选，不是评奖评比 |
R/TM/C图形文字为公司或相关单位商标版权,受法律保护 请勿转载 | 复制请注明出处 未经授权 禁止转载本站名单(数据)，深圳市睿弘网络有限公司版权所有。你正在使用的浏览器版本过低，将不能正常浏览和使用知乎。