云手机在黑产中的应用

虚拟化技术是当下黑灰产的热门技术。使用虚拟化环境，让黑灰产可以利用虚拟环境在应用运行环境的更底层这一优势，对 App 进行神不知鬼不觉的修改，从而避免在分析、破解 App 上的投入。

较早之前以 VirtualApp 为代表的 Android 虚拟化多开工具点燃了新的应用领域，近几年基于 ARM 服务器的虚拟化的技术也开始成熟和流行起来。

虚拟机与虚拟化的区别

虚拟化技术被广泛应用于服务的容器化。虚拟机和虚拟化的架构图如下：

传统虚拟机

虚拟化容器

虚拟机和虚拟化的对比

简单来说，每个虚拟化容器相当于一个沙盒，容器与容器之间互不干扰；虚拟化容器作为一个应用级别抽象（进程级），而虚拟机是作为操作系统级别。
知名的虚拟化应用是 Docker 等容器化技术，Docker 中使用了类似 LXC(Linux Container) 的技术来实现，而 LXC 这项技术也可以被应用于在 Linux 系统上虚拟化 Android 应用的运行环境。

什么是 LXC

LXC 是 Linux 内核容器特性的用户态接口。通过强大的 API 和简单的工具，它可以让 Linux 用户轻松创建和管理系统或应用程序容器。

LXC 对其进程有如下特点：

• 内核空间
• Apparmor 和 SELinux 配置
• Seccomp 安全机制
• Chroots（使用 pivot_root）
• 拥有内核态相关能力
• CGroups（控制组）

也就是说虚拟化环境可以在更底层的地方，对容器内应用的运行环境作出修改。

通过 LXC 在 Linux 上运行安卓应用

通过 LXC，我们能以窗口的形式打开安卓 app，且多个虚拟系统可以共享一些底层资源，效率较高。

但是基于 LXC 的虚拟环境在处理不同指令架构，会带来指令转译的性能消耗。也就说，基于 X86 的 Linux 系统运行基于 ARM 的安卓 App，性能会有相应的折扣。那如果用基于 ARM 运行的 Linux 服务器呢？不就可以进一步节省在转译环节的性能损耗。于是就有了这篇文章标题中的 —— 云手机，之前被广泛应用于 ARM 云模拟器。

黑产规模化技术的演进与现状

第一代：基于模拟器的规模化系统

第二代：基于真机的规模化系统

第三代：基于开发板的规模化系统

第四代：基于 ARM 服务器虚拟化的规模化系统

规模化技术的对比

我们可以很直观地看到，黑灰产的规模化技术在不断改善和迭代，以满足更高的需求。所以，跟踪黑灰产技术的演进是非常的重要。

云手机现状

公有云的服务商，一般只有在采购量足够大时，客户经理才会开放 ROM 定制。多数不提供 ROM 定制。

黑灰产应用案例
基于 LXC 运行的某短视频爬虫

某云手机平台的界面

结语
基于 ARM 的虚拟化技术已经在各领域逐步露显身手，在黑灰产领域尤为热门。本篇整理和总结了当下基于 ARM 服务器虚拟化技术在 Android 上进行黑灰产活动情况，并浅显地介绍了相关技术的实现原理。黑灰产技术也在快速迭代，做好风控需要不断跟踪黑灰产动向。
当然基于 ARM 服务器的虚拟化的规模化技术，只是虚拟化技术在 Android 中应用的一角。我们熟悉的多开应用也是虚拟化技术的一个应用，未来我们有机会也会给大家进行相关分享。
极验设备验™产品，可有效的体系化组织了风险识别能力，跟踪黑灰产动向，助力企业安全地增长。