一场普通的营销补贴活动
“我们上线不到24小时,就被薅空了。”
某出海公司运营负责人小李至今心有余悸。一场营销补贴活动,活动首周的预算,不到一天已经被黑灰产分子有序薅尽。
活动刚开启不久,批量账号涌入,预算在活动上线 24 小时即被一薅而空。在 Facebook Marketplace 和 eBay,甚至国内的某鱼上,陆续出现转售/代下单商品。当天夜里小李紧急对账,发现本次活动对业务增量收效甚微,而本期营销预算却已经消耗殆尽。
这不是孤例。
有数据显示,2025-2026年尤其在 AI Agent 营销投入增加的背景下,黑灰产造成的营销和算力损失也在增长。
下面是以往类似作案手段的简要流程,其中依旧存在有较多的自动化、虚假设备特征可以被检测。
但是本次小李遇到的团伙做方案方式,更为复杂,经过极验安全团队分析:
这个黑灰产团伙使用了基于 Virtualization.framework 的 iOS 虚拟化技术,可以直接在 macOS 上运行创建和运行全新的 iOS 设备,伪装为新设备用户,从而牟取经济利益。
此类技术更为隐蔽,传统手段难以检测,而以往类似作案多以 Android 和浏览器为主,iOS 虚拟化作弊方案鲜有所见,这打破了行业内固化很久的认知。
下面我们来聊聊 iOS 虚拟化的发展,以及对风控体系的影响。
iOS 虚拟化从“实验室”走向黑灰厂的工具“农场”
iOS 虚拟化技术的发展并非一蹴而就,而是经历了从艰难的指令集模拟、到商业寡头垄断,再到官方底层技术溢出至开源社区的三个重要阶段。
QEMU 时代:早期探索与纯软件模拟
在硬件级虚拟化技术普及之前,社区主要依赖基于 QEMU 的纯软件模拟方案(如 Project Inferno 和 xnu-qemu-arm64 等项目)进行初期的尝试。然而,由于缺乏对 iPhone SoC 复杂外设(如屏幕、USB、内部存储器等)的底层逆向工程和驱动支持,早期的 QEMU 方案往往只能将系统引导至用户态,并通过虚拟串口输出启动日志,无法实现完整的 iOS 图形化系统模拟。
Corellium 时代:商业化方案的突起与官方博弈
随着 Corellium 的横空出世,iOS 虚拟化迎来了真正的工业级突破。Corellium 推出了一款专为移动设备从零构建的裸金属(Type-1)Hypervisor——CHARM,首次在基于 Ubuntu Linux 的定制 ARM 服务器上实现了高保真的 iOS 和 Android 虚拟化。这种颠覆性的技术动摇了苹果封闭生态的根基。2019 年,苹果对 Corellium 提起了严厉的侵权诉讼,指控其非法复制 iOS 操作系统。经过漫长的法律拉锯战,美国法院裁定 Corellium 提供虚拟化 iOS 用于安全研究属于“合理使用”,双方最终于 2023 年底达成保密和解。
Corellium 的虚拟化 iOS 设备管理后台,可随意修改硬件标识
vphone 时代:Apple 官方底层组件技术外溢与开源平民化
iOS 虚拟化技术的第三次范式转移,源于苹果自身云端战略的演进。
在推出 Apple Intelligence 及私有云计算网络(PCC)时,苹果为了向安全社区自证其云端处理的隐私安全性,史无前例地在 macOS 中内置了供审计的虚拟研究环境。
这引导宿主回归到封闭的 macOS 生态。敏锐的开源社区发现,自 cloudOS 26 版本起,苹果在固件中悄然加入了与 vphone 相关的底层组件。
基于这一发现:
开发者们利用 macOS 原生的 Virtualization.framework 展开了逆向重构。
从早期充满硬编码的概念验证项目,迅速迭代出了更成熟、高度模块化的命令行工具。未来甚至可能将 Virtualization.framework 移植到 Linux 生态上。
在macOS 上实例化的 vphone,与真实 iOS 设备环境差异不大
vphone 为什么更具威胁:低成本、规模化、高拟真
虚拟化技术不仅是底层代码的博弈,其产品化路径直接决定了它在真实网络生态中的应用走向。由于 Corellium 与 vphone 处于完全不同的商业与开源象限,它们在使用场景、产品落地以及对黑灰产生态的衍生影响上存在着巨大的鸿沟。
下表从业务与生态视角对两者进行了深度比对:
正如上表所呈现的,Corellium 走的是高举高打的企业级服务路线,其高昂的定价体系与严格的客户筛查机制,在客观上将其受众限制在了合法且资金充裕的专业网络安全防御与合规审查领域,难以被黑灰产利用。
相反,vphone 生态的崛起彻底打破了长期存在的 iOS 动态调试技术封锁与高昂成本壁垒。
这种底层技术的开放,在极大促进安全社区繁荣的同时,也因为其“开箱即用”且不受任何集中化监管的特性,不可避免地沦为了黑灰产自动化规避传统设备指纹与风控策略的温床,迫使防御方必须升级其对抗手段。
苹果提供 Virtualization.framework 以及独立安全研究员提供 vphone 相关的工具是为了便于安全领域的研究,却被黑灰产利用。黑灰产利用这种“新型开放的”虚拟化技术构建低成本“云手机”设备农场、自动化刷量作弊、游戏多开以及地理位置伪造等业务欺诈场景的新型底层基础设施,对企业风控防线构成了严峻挑战。
传统认知中 iOS 生态较为封闭,作为黑灰产作弊的风险相对较小。但当下 iOS 虚拟化技术的迭代演进,却具备以下特征:
成本极低化: 无需昂贵服务器,macOS 即可运行,易于小作坊建设
环境真伪难辨化: 官方框架支持,拟真度高,绕过常规检测
攻击规模化: 开源工具随取随用,黑灰产轻松搭建“云手机”农场
这些特征将打破以往 “iOS 较为安全的” 固有认识,业务运营不得不关注此类作案手段。
极验如何虚拟化识别
与黑灰产赛跑,增强设备识别能力
随着 Android/iOS 虚拟化工具的普及以及其在规避物理隔离限制方面的显著优势,不仅在正面的安全防御研究获益匪浅,部分为了牟利而进行恶意自动化、模拟器多开刷量或地理位置伪造等灰色活动的黑灰产团伙,也在不断尝试应用新型的虚拟化技术到非法活动中。
为了应对这类作案方式潜在对业务风控带来的挑战,必须在风控体系中补充能深入系统底层的探针,以识别真实的物理设备与伪装的虚拟环境。
设备指纹产品流程图
极验设备指纹产品通过多种手段提升识别虚拟化环境的能力:
底层特征
基于硬件特征嗅探与偏差检测
环境反馈校验
最终将此风险以风险标签码 20207在用户侧呈现,便于用户将此类风险信号应用到风控规则平台,并与业务场景结合。
结合业务场景,进阶使用设备指纹产品
极验与上千家合作伙伴共建风控设施,深知单纯的设备指纹产品仅仅是风控的一环,而一个平台化的风控规则决策平台更是能满足各种业务场景的实时风控规则编排和规则的灵活调整、风险感知的需求。
而在实际业务运营中, 在对抗多变的风险因素, 也往往需要对动态对业务场景中的属性进行判断、计算、流程编排、动态配置生效。
极验决策引擎平台应运而生,规则决策引擎+深度设备指纹的双驱动时代是行业演进的必然。
在极验风控决策平台上可以进行规则可视化编排,对异常风险请求进行实时决策的管理系统。
为了满足这些目标,我们设计了以规则流程优先的设计模式来组织判定逻辑。同时在决策平台上提供以下功能来简化规则的编排,强化规则流程的关系,沉淀业务的核心逻辑:
图中为在决策引擎平台上对不同节点的编辑
在下面的示例中,通过在决策平台上编排黑白名单节点、决策表节点、风险感知节点、阈值通知节点等等,形成贴合业务场景的策略规则,可帮助您在具体业务场景对风险进行感知和决策:
极验规则决策引擎规则编排界面
使用极验风控决策引擎平台+设备指纹解决方案,可以将设备风险识别能力、设备指纹能力与业务自身的业务行为数据、账号数据进行更为紧密的关联。既可以提供场景模版,也可定制化的贴合业务的风控规则,为您更复杂的业务场景保驾护航。
结语
iOS 虚拟化技术的演进,是反作弊(Anti-fraud)和业务风控的长期军备竞赛的冰山一角。
传统的设备指纹探针及风控产品,面对传统的技术手段还尚可一战。然而,面对基于新型的虚拟化手段,业务侧常规获取的系统常量参数(DeviceID 等)将会被轻易绕过甚至被降维打击。
所以,风控方案必须由粗粒度设备特征检测向基于侧信道的行为特征融合方案演进,方能在此类技术更迭的变局中维持对业务安全的有效监控与阻断能力。
因此,极验除了提升设备指纹产品对新型风险环境识别能力外,同时也提供更灵活的规则决策引擎平台解决方案,让客户可以贴合自己的业务场景、业务行为进行定制化的风控规则,应对多样化、迭代频繁的黑灰产工具和手段。
#极验#极验设备指纹#业务决策引擎
