最近暗影安全实验室吸收了一名受害者的乞助,受害者声称自己与网友进行QQ视频裸聊被录制了视频,且在网友推举下载了一款名为果的软件,这款软件会上传了用户手机联系人信息诱骗者以此威胁受害者一贯转账。

图1-1 网友乞助信息

图1-2 受害者谈天记录

岳阳php短信接口裸聊APP欺骗了 GraphQL

诱骗履行流程

和以往我们看到的裸聊APP不一样,以前你可能只是被诱骗购买会员,少则九块九,多则九十九,对付很多人来说都是小钱,纵然被骗了,也可能就当生活小插曲,过几天就抛到脑后了。
而这次我们面对的是更高等的诱骗手段,说高等但实在又是换汤不换药。
“裸聊”敲诈的方法很大略,嫌疑人通过谈天软件等各种渠道做推广,吸引受害者下载安装“直播软件”,然后用美女裸聊为诱饵,利用社交软件主动发送视频与受害者进行裸聊,你和美女裸聊的全过程都被录制了视频。
而实在,这个直播软件是个木马程序,可以盗取手机上的全部通讯录。
诱骗者利用受害者害怕裸聊事宜被暴露的恐怖生理,威胁用户支付一定用度删除裸聊视频。

图1-3 裸聊诱骗履行流程样本信息

文件名

MD5

安装名称

糖果.apk

85494e8eb34a688592ae0f1ae1fe5270

糖果

代码剖析

(1)APP运行界面

运用首次运行要求申请读取联系人信息权限、且用户需输入约请码才可进入运用。

图1-4 恶意软件运行界面

(2)技能手段

该运用启动后加载了asset目录下的index.android.bundle文件。

图1-5 加载index.android.bundle文

该文件是利用javascript代码编写而成。
在该文件中实现了获取用户隐私数据紧张代码调用。
通过@ReactMethod办法在js文件中调用android原生API代码。
实现js与java的交互,这有助于避免被杀毒软件查杀。

(1)运用申请了完全的获取用户隐私数据权限列表。

图1-6 权限要求列表

(2)在js中通过调用java的getAll()方法获取用户联系人信息。

图1-7 js中调用java代码

(3)Java代码中实现了获取用户联系人信息的功能,运用会网络用户联系人电话、姓名、邮件、发件地址、公司地址等信息。

图1-8 获取联系人信息

(4)将获取的用户联系人信息上传至做事器:http://tg.jun.cc/index.php/Api/Index/telAdd。

图1-9 上传用户联系人信

上传用户联系人电话号码、姓名到做事器,个中code是用户登录时输入的约请码。

图1-10 上传用户联系人信息数据包

(3)恶意程序做事器

恶意程序的做事器后台:http://tg.jun.cc/admin/index/login。

图1-11 恶意程序做事器

溯源剖析

通过受害者供应的线索以及我们通过剖析得到的线索,我们对该app的信息进行了溯源得到以下信息。

(1)嫌疑人:

姓名:安辉

地址:岳阳市楼区东路355号

手机号码:18028329

图1-12 溯源脑图

(1)做事器地址溯源:tg.jun.cc

该做事器地址IP信息为:180..228.141、IP地址为喷鼻香港。
对该IP进行反查得到以下域名。

图1-13 域名IP信息

域名列表:

域名

jun.cc

m.wd8.com

www.jun.cc

youn8.com

www.120md.com

tg.juun.cc

www.jnxz.com

125md.com

jnxz.com

wd88.com

www.wd88.com

www.yonn8.com

且该域名在2017-2081年不断修正北岸信息,现已无法查询到域名北岸信息。

图1-14 域名历史北岸信息

(2)支付办法溯源

对诱骗者供应的收款码进行扫码,根据支付宝显示信息“景超市”,我们进行检索,找到大量干系数据,有一家岳阳市—景超市格外显眼。

图1-15 支付宝信息

接下来我们就该超市展开进一步溯源,得知这家超市全名为“岳阳南区景超市”,地址在“岳阳市南区求路355号”,是由一位名叫“安辉”的人经营。
这与支付宝付款码的姓名不谋而合,我们以为该人有很大嫌疑。

图1-16“景超市”企业信息

(3)银行卡信息溯源

我们对诱骗团伙供应的用于收款转账的银行卡信息进行查询创造有两张银行卡开户地在湖南,个中一张银行卡开户地在湖南岳阳这与我们查询到的嫌疑人“安辉”所在地一样。
因此我们断定“安辉”为嫌疑人之一且诱骗团伙可能在湖南这一片:

姓名

卡号

银行

开户地

白元

621559005800000

工行

内蒙古自治区 - 鄂尔多斯

许平

62170076870000

建行

广东省 - 深圳

高红

621799512330000

邮政

湖南省 - 岳阳

文玲

623090110480000

屯子信用社

湖南省屯子信用社联合社 - 借记卡 - 福祥借记IC卡

(4)QQ溯源

诱骗者利用的QQ。
扣扣号:3461870用于领导用户进行裸聊。
扣扣号:3452615用于事后威胁用户进行诱骗转账。
这两个扣扣号都是新注册的小号,我们要求添加QQ,但是被谢绝,且QQ空间也谢绝对外开放。
可见诱骗者的戒备心很强,并不随意赞许他人添加。
基本都是主动出击添加目标。

图1-17 诱骗者QQ页面

扩展剖析

通过关联剖析在恒安嘉新App全景平台态势平台上,我们创造多款用于裸聊的恶意软件。

图1-18 恶意运用扩展信息

运用做事器地址:

安装名称

做事器地址

IP地址

是否存活

糖果

http://tg.jun.cc/index.php/Api/Index/telAdd

180..228.141

夜约

http://www.yaep.cn/api/Index/telAdd

110..54.166

恰聊

http://www.tz.top/index.php/Api/Index/telAdd

175..28.229

左耳

http://www.mmhg.top/index.php/Api/Index/telAdd

解析失落败

附近约爱

http://0829.snhyi.com/app/api?sb=a

185..171.210

这些恶意程序都具有相同的代码构造。
但是有的运用的署名信息却不同,解释这些运用不是同一制作者制作,不是由同一制作者制作却拥有相同的代码。
预测可能是由同一源码打包而成。

图1-19 样本代码构造

经由一番信息查找,我们找到了这些裸聊框架的源码。

图1-20 恶意软件源码信息

网上有大量该源码信息,且该恶意软件源码框架供应了详细的利用教程,可见打包一个裸聊诱骗软件并不须要花费什么功夫。

图1-21 恶意程序源码框架

总结

诱骗团伙利用的诱骗手段不断升级,从利用仿冒运用进行电信诱骗,到利用木马程序盗取用户通讯录信息,同时合营裸聊进行敲诈无不与金钱息息相关。
用户应在提升自身防护意识的同时做好自身,不轻信他人,武断抵制不良誘魊。
让网络诱骗从无孔不入到无孔可入。