当前位置:张子翼 > 随笔记录 > 程序笔记 > 正文
张子翼

作者:张子翼

我总不能把抱怨讲给你听吧

手机扫码查看

阿里云

合作让利优惠价格

¥8 现在购买

【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者

前几日看到很多被“裸聊APP”勒索的求助,特意分析了一下,通过分析该伙伴求助的应用,我们找到了该应用的后台地址并bp登录,同时经过溯源找到了另外三个相同的后台,三个后台总共被骗用户小十万,现在每天还有人上当受骗,希望看到文章的小伙伴能相互转告,提醒自己身边的人。

1. 概述


近几天又不断收到网友的求助,不过明显网友比之前聪明不少,不是一味的打钱,而是通过网络寻求帮助。钱虽然没损失多少,但是自己信息还在诈骗团伙那边存着,自己心里还是没底,希望能够得到帮助。针对这种窃取短信、通讯录的APP,即使没有其他恶意行为,我们也要严厉打击,对于用户来说手机上最隐私的东西莫过于短信和通讯录,这也是诈骗团伙最想拿到的数据,诈骗团伙可以通过这些数据做人物关联,方便撰写诈骗术语,容易取得被诈骗者的信任。

【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
勒索诈骗团伙经过包装,通过各大社交类APP,如:微信附近的人、陌陌、探探、积木、等新出的APP中扮演女性,跟一些男性打招呼,基本几句话,就让你添加诈骗者的QQ,然后通过QQ进行挑逗,如:要不要玩点刺激的等等。因为QQ方便播放事先录制好的视频。诈骗者通过播放女性视频,但视频并没有声音。获取你的信任后立即关闭视频,说有些卡或者网不好等理由,让你下载其直播APP进入房间号观看。此时当你下载好APP后,会跳出获取通讯录、短信、相册、未知等权限。当你点击确认按钮时,您手机上的所有个人信息将发送给操控APP的后台。后台完整获取了您的隐私。此时你点击APP登录会一直加载,这时,诈骗团伙要求你还是QQ聊吧。此时又开始邀请您视频,你迫不及待的“裸聊”后,对方会录制您的视频,要挟你为诈骗者转账。诈骗者会查看你的短信,一般短信会有银行卡的余额,照片有个人证件等。如果很多,对方会变本加厉。通过qq语音,一个抠脚大汉发来语音邀请,恐吓你,如果想解决这个事情,需要准备xxx钱,到xxx账户,不然就给你通讯录的好友发送你的视频等等。此时一定不要转账,不要妥协,一旦妥协,将是无休止的要钱,直到你彻底拉黑他们。当然,也免不了通讯录的父母会接到国外的电话。但请不要担心,录制通话语音,直接报警。记住:骗子也害怕知道的人太多,对骗子更加不利,因为人民警察会获取到骗子的更多信息,一举抓获。

2. 样本分析
2.1样本基本信息

  • APP名称 荔枝
  • 应用包名 com.y1lizhi50050.qrf
  • 文件MD5 4A9635D9C2D94968E6795FBF161ADD46
  • 签名信息 CN=(t1y1*****505050),OU=(y1*****50050@qq.com), O=(11*****50@qq.com), L=(Beijing), ST=(Beijing), C=(zh)
  • 签名MD5 41396268D7B1374B98B494077F1AF567
  • 下载链接 https://ww.l*****s.com/ic***9g
  • 图标 【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者

2.2代码行为分析


该程序启动后需要用户输入授权码和自己手机号,授权码一般是邀请用户裸聊的诈骗团伙人员提供给用户的,主要是为了检索对应用户的信息,手机号同样也是为了定位是哪一个用户。程序通过所谓的聊天、诱惑等功能诱导用户注册登录,在用户注册后程序会获取用户的短信、通讯录信息上传到指定服务器,接下来就是诈骗团伙拿到用户信息以此来诈骗用户。

2.2.1APP运行行为


APP运行后需要用户输入授权码和自己手机号,授权码一般是邀请用户裸聊的诈骗团伙人员提供给用户的,主要是为了检索对应用户的信息,手机号同样也是为了定位是哪一个用户,用户输入信息后,APP一直处于加载状态。

【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
获取 通讯录、短信、图片、位置 的恶意软件。

2.2.2获取通讯录信息


用户输入授权码和手机号后,程序后台私自获取用户通讯录联系人上传到指定服务器。
服务器地址:http://l***.e-***.cn/api.php?service=contacts.create

【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
查看获取通讯录信息源码
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
抓取上传数据包

2.2.3 获取短信息


程序后台私自获取用户短信息上传到指定服务器。
服务器地址:http://l***.e-***.cn/api.php?service=sms.import。

【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
获取短信源码,短信输出表格代码。

2.2.4其他用户信息


在分析该程序时安全人员还发现该程序是通过某平台直接打包的应用,并发现该程序嵌入了平台的SDK,该SDK存在私自上传用户手机号、应用程序列表以及大量固件信息等到平台服务器。嵌入平台SDK程序框架:

【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
嵌入平台SDK程序框架 该平台打包的应用启动后直接会启动子包相关组件:直接启动SDK相关组件
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
启动平台SDK相关组件拼接固件信息上传
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
拼接固件信息上传
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
上传启动报告数据包
具体上传用户信息的服务器地址
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
上传用户信息的服务器地址
上传启动报告后,会继续上传用户手机号、IP地址、MAC地址、固件信息以及应用程序列表:拼接用户信息
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
拼接用户信息上传用户信息到指定服务器
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
上传用户信息到指定服务器
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
上传用户信息数据包
在全景态势感知平台配置该平台打包应用特征,发现有三万多款应用,可见该平台使用者较多,获取信息不计其数。
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
全景态势感知平台关联分析
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
溯源信息脑图
基于该程序上传用户信息服务器地址:http://l***.e-***.cn/api.php进行情报线索的扩展,通过域名whois查询,可以发现该域名联系人相关信息:
联系人:温**
邮箱:21*****28@qq.com
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
域名whois查询
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
邮箱反查
查询以上域名的子域名,其中ce****89.cn下的q***.c****89.cn存在一个后台服务器地址:
http://q***.c****89.cn/admin/login.html
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
c****89.cn子域名
通过查询l***.e-***.cn域名对应IP地址,得到另外两个相关联的域名:c.li******ve.cc、6**.a******ec.com,
域名对应都存在一个后台服务器:http://c.li******ve.cc/admin/login.html
http://a******ec.com/admin/login.html
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
IP地址关联域名
安全人员发现四个后台地址的主要功能完全一致,主要储存获取的用户信息
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
后台服务器
通过溯源新发现的服务器后台,具有群发视频的功能,可以通过授权码找到对应的受害者,之后群发短信
【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者
后台服务器群发短信

总结


诈骗团伙使用的诈骗手段不断升级,从利用仿冒应用进行电信诈骗,到利用木马程序盗取用户通讯录信息,同时配合裸聊进行敲诈无不与金钱息息相关。用户应在提升自身防护意识的同时做好自身,不轻信他人,坚决抵制不良诱惑。让网络诈骗从无孔不入到无孔可入。同时开发者应该严把开发关卡,保证自己开发的应用不存在超采风险,不要随意嵌入未知的SDK,即使使用也希望能在用户隐私协议中申明相关SDK具体用途以及要获取的用户信息,让用户心里有数。

未经允许不得转载:

作者:张子翼, 转载或复制请以 超链接形式 并注明出处 张子翼
原文地址:《【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者》 发布于2020-10-02

分享到:
赞(1) 打赏

评论 抢沙发

评论前必须登录!

  注册



【逆向思维】“裸聊APP”背后的秘密 通过视频勒索实施诈骗者

长按图片转发给朋友

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

阿里云便宜主机

官方低价服务器、云数据库、OSS储存、CDN加速、LOGO设计、公司注册、代理记账、软著权。等精品低价产品。

点我了解

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册