“主板机黑灰产业链”作为今年315晚会的第一弹，曝光后被广泛关注。实际上，从数美黑产研究院获取的信息来看，2019年主板机就已经在黑产市场交易，成为作恶的工具，五年来这条黑灰产业链不断成熟、庞大，它的浮现并非一蹴而就，而是经历了一个逐渐暴露的过程，今年315则是暴露的高峰点，但并不会止于315。

是否真的如其厂商所说，如今在黑产市场畅销的主板机，平台和监管部门很难发觉和找到他们？数美科技基于对黑产行为的研究和近十年的黑产攻防经验，深度揭露主板机，并提供高效精准的防控方案。

主板机演变：“生意”越做越大

主板机简单理解，就是将数十台手机的主板拆卸下来装入统一的机箱，用一台电脑就能同时操作几十甚至上百台手机。

主板机主要的应用场景是云控和箱控，其原理是一种用于管理和控制多个移动设备的软件工具，这类工具通常用于集中管理大量手机，以实现批量操作、监控和协同任务。目前国内大多数主板机厂商不仅提供主板机硬件工具，同时会提供云控、箱控服务，硬件存放在厂商机房内进行管理，购买方只需从远端来操作即可。

实际上，我们看到的主板机，2019年的外在形态是拆分后放置在架子上，如今已经历经演变存放于机箱中，外在形态更精致，这也侧面反映出这条产业链在往更专业化、精细化的方向发展。

市面上主流的主板机价格从3000多元到8000多元不等，基于设备型号的新旧价格不同，型号越新价格越高，5g价格大于4g，每套设备里大概包含20块手机主板，手机用户参与的一切网络活动都能用主板机代替，效果呈20倍增加，且可以不断复用于不同平台、不同作恶场景，对黑产来说是收益率极高的投入。

据数美黑产情报平台监控到的信息来看，关于主板机的交易信息在近两年也更加泛滥，这条产业链上的“生意”越做越大。

主板机：黑产作恶最核心的基础资源

目前黑产作恶的完整链条从下到上黑产共分为5层：渠道、情报、基础资源、场景作恶、变现套利，整个链路分工明确，层层递进。

渠道是产业链源头，黑产通过不同渠道，获取不同行业信息，从渠道提取出来的信息变成情报，黑产团伙有专人每天分析各类情报，找到利润够大的情报，并进一步研究。

当确定情报后，黑产团伙需要准备大量的基础资源（设备、手机号、账号、IP、自动化框架、验证码）来支持后续作恶。

当底层资源准备好后不同领域的黑产就开始在各自的场景作恶。

最终为套现环节，以薅羊毛为例，并非所有黑产薅到商品后都能顺利变现，”羊毛“有时也会砸在自己手里，所以变现渠道尤为重要，优质渠道可以吞掉大量货物，而且风险较低。

在完整的黑产链条中，主板机作为最核心的基础资源层是不可或缺的一环，黑产所有的获利都建立在大量账号基础上，而设备、手机号、IP是注册账号所必需的资源。

主板机背后，是一条隐匿着水军、羊毛党、电商刷单、直播间刷流量、短信轰炸甚至是电信诈骗等涉及面极广、造成巨大经济损失的黑灰产业链。它的运作模式复杂且精密，各个环节相互配合，形成了一个庞大的网络。

主板机黑灰产运作模式通常包括以下几个步骤：

（1）非法获取主板机：不法分子通过海外进口或国内采买，从二手市场非法获取大量的主板机设备，海外进口的由于没有入网许可所以一般不具备通信功能，无法用于电信诈骗场景。

（2）篡改数据：利用专业技术，对主板机进行改装和编程，使其能够篡改数据、模拟用户行为等。

（3）场景作恶：将篡改后的主板机接入互联网，通过自动化程序操控刷量、刷单、薅羊毛等行为。

（4）谋取利润：不法分子将流量、薅羊毛或诈骗等作恶所得，进行转化或变卖获利。

看似无懈可击，实则特征可辨
数美“天网”精准识别

主板机原本只是一个普通的电子设备，但却成为了黑灰产业链的关键环节。而且由于“主板机”还可随意更改账户IP地址，使成千上万的手机账号看似分布在全国各地，大大增加了网络违法行为的隐蔽性和复杂性，如果平台的风控策略仅仅是基于IP地址和设备真实性是很难识别到这种相对智能化的黑产行为。

表面上看似无懈可击，实则有特征可辨。主板机本身是群控的设备资源，对它的识别可以结合设备SDK的采集，从设备风险层以及登录注册的行为特征层去综合识别。

1.设备风险识别的三个维度

（1）机器操控特征

主板机在被黑产用于作恶前，为了能够更好的实现智能化批量操控，通常需要刷新或者改造系统，因此具备一定的机器操控特征，这里可以从两个维度识别：

第一个维度是系统层，黑产为了能够大批量操作，会嵌入如一键新机、一键篡改等工具，比如主板机市场常见的三星S系列，本身它有自己的原装系统，系统里面是非常标准的一套安卓的文件或者三星系统的文件，在被黑产篡改后，一定会产生与原始系统不一致的特征。

第二个维度是微行为，微行为可以理解为它是对于真实用户行为的检测。主板机的终端环境和行为特征跟正常用户是有所差别的，比如正常用户在点击屏幕的时候，是会有按压、滑动等行为的，但是如果主板机箱控方式的话，它没有屏幕，一般采用按键精灵这类机器自动，与真人操作存在一定的差异，此差异即可作为区分真人与机器的特征。

（2）设备状态特征

设备网卡状态也是识别主板机的重要参考，一些设备为了应对平台一机一号一设备的规则设置，在接入网络时会存在使用以太网卡上网的情况，这和正常的安卓设备是不一样的。同时设备屏幕的分辨率与真实的手机分辨率不匹配、没有电池或电池电量不变等状态，数美的天网产品都能够通过终端风险检测来捕捉到上述异常，识别主板机。

（3）设备农场的聚集和趋同特征

主板机1个箱子里面有20个设备，且是真实的物理设备而非虚拟模拟器，实际上是黑产作恶的设备农场，这种群控的黑产团伙，会呈现出一定的聚集性和趋同性，数美天网产品通过分析设备标签以及设备上的行为标签，能够准确的分析、识别出此类特征，比如同分辨率同机型同电量的设备，大概率是同一团伙的主板机。

2. 行为风险识别

（1）账号行为特征明显

“主板机”使用者利用群控可以实现一台电脑控制几十到几千不等数量的用户行为，这种情况下一个板卡上反复登录多个账号，且大量账号在一定时间段内行为序列趋同。如：团伙账号都是大量的给相同人点赞。

（2）IP切换频率特征

据数美黑产研究院的调研信息，主板机的机房很多都在一个地方，部分实现了一机一号一设备一IP，但由于使用的是本地局域网络，虽然可以通过秒拨IP平台资源实现IP切换，但是切换范围是有限的， 且切换频率也是区别于正常账号的。

针对主板机黑灰产的特征，数美“天网”基于软硬件特征、上网环境、设备指纹等100+基础维度，采用聚类分析、GBM等技术构建风险设备识别模型，并结合行为层面的模型和策略，抽丝剥茧，能够有效识别主板机，从设备源头上识别黑产作弊风险，助力平台对抗薅羊毛、刷单造假、控评刷票、虚假流量等黑产行为，守护良好的平台生态。