Geek姿势技术/Web资源

我被“果聊APP”诈骗了:技术分析诈骗陷阱实施流程

lovebet滚球 · 5月7日 · 2020年 · 183次已读

事件简介

疫情之下,各行各业为了生存发展都在谋求转型,诈骗界也不例外。就色情类诈骗而言,最近“找小姐”诈骗、仙人跳诈骗几乎为零,P2P果贷诈骗随着整治也告一段落,但“果聊”被敲诈的案件却暴涨。

其实原因很简单,你懂得…,在网上寻欢作乐、寻找慰藉,给专业犯罪团伙创造了致富机会。最近暗影实验室接收了一名受害者的求助,受害者声称自己与网友进行QQ视频裸聊被录制了视频,且在网友推荐下载了一款名为糖果的软件,这款软件会上传了用户手机联系人信息,诈骗者以此威胁受害者一直转账。

果聊APP

诈骗实施流程

和以往我们看到的果聊APP不一样,以前你可能只是被诱骗购买会员,少则九块九,多则九十九,对于很多人来说都是小钱,即使被骗了,也可能就当生活小插曲,过几天就抛到脑后了。而此次我们面对的是更高级的诈骗手段,说高级但其实又是换汤不换药。

QQ

“果聊”敲诈的方法很简单,嫌疑人通过聊天软件等各种渠道做推广,吸引受害者下载安装“直播软件”,然后用美女裸聊为诱饵,利用社交软件主动发送视频与受害者进行裸聊,你和美女裸聊的全过程都被录制了视频。而其实,这个直播软件是个木马程序,可以盗取手机上的全部通讯录。

诈骗者利用受害者害怕裸聊事件被暴露的恐惧心理,威胁用户支付一定费用删除裸聊视频。

诈骗实施流程

案件实例APP

APP文件名:糖果.apk

MD5:85494e8eb34a688592ae0f1ae1fe5270

糖果APP

如上图,APP运行首次运行请求申请读取联系人信息权限、且用户需输入邀请码才可进入应用。

欺诈APP后台技术分析

1、技术手段该应用启动后加载了asset目录下的index.android.bundle文件。

糖果APP后台

该文件是使用javascript代码编写而成。在该文件中实现了获取用户隐私数据主要代码调用。通过ReactMethod方式在js文件中调用android原生API代码。实现js与java的交互,这有助于避免被杀毒软件查杀。

2、应用申请了完整的获取用户隐私数据权限列表。

APP获取隐私

只要能读懂上方的英文单词就不难理解这个APP后台获取的用户隐私信息内容,比如READ_SMS,SEND_SMS读取和发送短信等等隐私权限。

3、在js中通过调用java的getAll()方法获取用户联系人信息。

JS

4、而且如此代码来看,程序会将获取的用户联系人信息上传至服务器:http://tg.ju***n.cc/index.php/Api/Index/telAdd。其中code是用户登录时输入的邀请码。

用户数据

5、通过APP代码中上传目标服务器的域名,可以直接打开其后台登录页面,如下图。

恶意代码服务器

溯源分析

1、通过网友受害者提供的线索以及分析得到的线索,对该app的信息进行了溯源得到以下信息:
嫌疑人:姓名:*安辉地址:岳阳市**楼区**东路355号手机号码:180***28329

溯源分析

2、服务器地址溯源:tg.j***un.cc该服务器地址IP信息为:180.***.228.141、IP地址为香港。

3、 支付方式溯源对诈骗者提供的收款码进行扫码,根据支付宝显示信息“景**超市”,进行检索,找到大量相关数据,有一家岳阳市—景**超市格外显眼。

支付方式

接下来暗影实验室就该超市展开进一步溯源,得知这家超级全名为“岳阳南***区景***超市”,地址在“岳阳市南**区求***路355号”,是由一位名叫“*安辉”的人经营。这与支付宝付款码的姓名不谋而合,我们觉得该人有很大嫌疑。

溯源分析

4、银行卡信息溯源我们对诈骗团伙提供的用于收款转账的银行卡信息进行查询发现有两张银行卡开户地在湖南,其中一张银行卡开户地在湖南岳阳这与我们查询到的嫌疑人“*安辉”所在地一样。因此我们断定“*安辉”为嫌疑人之一且诈骗团伙可能在湖南这一片:

姓名
卡号
银行
开户地
白*元
6215590****05800000
工行
内蒙古自治区 – 鄂尔多斯
许*平
6217007****6870000
建行
广东省 – 深圳
高*红
6217995****12330000
邮政
湖南省 – 岳阳
文*玲
6230901****10480000
农村信用社
湖南省农村信用社联合社 – 借记卡 – 福祥借记IC卡

5、QQ溯源诈骗者使用的QQ。QQ号:3461***870用于引诱用户进行裸聊。QQ号:345***2615用于事后威胁用户进行诈骗转账。这两个QQ号都是新注册的小号,我们请求添加QQ,但是被拒绝,且QQ空间也拒绝对外开放。可见诈骗者的防范心很强,并不随意同意他人添加。基本都是主动出击添加目标。

企业信息

6、通过关联分析在恒安嘉新App全景平台态势平台上,我们发现多款用于裸聊的恶意软件。

同类恶意APP

7、 这些恶意程序都具有相同的代码结构。但是有的应用的签名信息却不同,说明这些应用不是同一制作者制作,不是由同一制作者制作却拥有相同的代码。猜测可能是由同一源码打包而成。

经过简单搜索,发现网上有大量该源码信息,且该恶意软件源码框架提供了详细的使用教程,可见打包一个裸聊诈骗软件并不需要花费什么功夫。

后记总结

诈骗团伙使用的诈骗手段不断升级,从利用仿冒应用进行电信诈骗,到利用木马程序盗取用户通讯录信息,同时配合果聊进行敲诈无不与金钱息息相关。

用户应在提升自身防护意识的同时做好自身,不轻信他人,坚决抵制不良诱惑。让网络诈骗从无孔不入到无孔可入。

0 条回应