正常情况下,马甲包的A/B判断起码会有IP/时区/mcc,但是也有很多包,只判断IP地址,而且活得很好。
下面就举几个例子:
https://play.google.com/store/apps/details?id=com.civilavia.question100
https://play.google.com/store/apps/details?id=com.media.goodcloudwin
这些包的下载量都是100K+,在架时间也超过4个月了,看起来很安全。
它们的A面都是很简单的H5小游戏或者app,尽量和飞机/火箭擦边,为了icon能够用飞机或者火箭,这个明显是为了蹭avia这种热门游戏的流量。A面游戏如下:
进入B面后,就是这样了
它的做法很简单,壳包非常干净,sdk只集成了tenjin(adjust的替代品),然后就在webview中打开下面的网页:https://an.tumigo.work/?adid=c3c5e05c-318f-4b62-a954-b87fe92e7d3d&tenjin_id=9811c6ff-287b-456a-9385-9d31feacdb37#/
然后走S2S事件上报
服务器根据当前用户的IP,返回A面或者B面对应的网页,我实际测试的情况,只要是印度IP,就能进入B面,没有其它的任何限制。
为什么它没被封呢?我想有这么几个原因:
- 壳包非常干净,没有任何可疑代码。
- tenjin事件上报,比较罕见。
- 包的分类是休闲游戏或者app,买量很克制,而且几乎都是买的google的量。