1. 总体概述
2022年5月11日,国家反诈中心App在骗局曝光宣传中披露了“刷单返利、虚假投资理财、虚假网络贷款、冒充客服、冒充公检法”五大高发电信网络诈骗案件类型,其中刷单返利类诈骗发案率最高,占发案总数的三分之一左右。刷单返利类诈骗的“返利周期短、引流成功率高”特点,已使其逐步演变为了变种最多、变化最快的诈骗类型。
近期,恒安嘉新暗影移动安全实验室“APP全景态势与案件情报溯源挖掘系统”监测发现一款名为“纯里人家”的刷单诈骗应用, 经过研究人员分析发现该应用是一款通信服务类App,但是当用户注册、登录后,里面的内容是别有洞天。登录成功后会有客服接待人员主动添加用户为好友,然后利用色情内容引诱用户,以完成色情约聊任务、垫付返还的方式对用户进行层层套路,逐步诱导用户完成刷单任务,实现刷单诈骗。并且App的主服务器地址通过服务器随机下发,会不断变化,进而增加监管部门封堵处置难度,来延长自身存活周期。
本文主要从应用的基本功能、诈骗流程、同家族关联分析、通联地址分析等维度,说明应用的运行过程,诈骗方式,对抗手段,以及同家族应用的多变性等。让用户了解该类应用的特点和诈骗手段,提高用户的警惕,避免用户个人财产受到损失。
2. 基本信息
应用基本信息如下表所示:
|
应用名称 |
纯里人家 |
|
MD5值 |
3dd8d29303190d131db4cf0b4418b9f1 |
|
应用包名 |
com.s1303chunlirenjia |
|
应用版本 |
100.10.8 |
|
应用签名 |
[email protected],CN=Android,OU=Android,O=Android,L=Mountain View,ST=California,C=US |
|
签名MD5 |
e89b158e4bcf988ebd09eb83f5378e87 |
|
安装图标 |
|
3. 应用基本功能
3.1 基本功能分析
经过对App代码分析和基本功能的使用,得知App是一款通信服务类App,应用具备通信聊天、发送图片、发送视频、发送语音等功能。应用代码架构如图3-1,基本功能页面如图3-2。
图3-1 代码架构
图3-2 基本功能页面
3.2 服务器地址分析
经过分析发现App的主服务器地址是通过服务器随机下发的,所以主服务器地址会随机变化,该技术手段用于防止监管部门封堵处置,延长自身存活周期。
(1)从服务器获取App主服务器地址的解析文件,如图3-3代码所示。
https://as1303aw.oss-ap-northeast-1.*yuncs.com/czEzMDM%3D
https://as1303aw.s3.ap-southeast-1.*zonaws.com/czEzMDM%3D
图3-3 获取App主服务器地址的解析文件
(2)解析从服务器下发的文件,获取App主服务器地址,如图3-4代码所示。
http://api13030615.**tlf.xyz:14747
http://api1303061501.**tlf.xyz:16458
http://api1303061502.**tlf.xyz:16568
http://api1303061503.**tlf.xyz:15857
图3-4 获取App主服务器地址
4. 应用诈骗流程分析
经过分析发现该应用主要利用色情约聊,引诱用户刷单,来实现刷单诈骗。详细诈骗流程如图4-1所示:
(1)App要求必须有邀请码才可以注册,用户联系注册页面在线客户索要邀请码;
(2)获取到邀请码后,进行账号注册;
(3)登录账号后,客服接待主动添加用户为好友,并把用户添加到约*群中;
(4)约*群对用户设置禁言,不断发送色情内容和完成刷单任务人员信息,对用户进行引诱;
(5)客服接待向用户介绍约*流程,提醒用户需要完成4个任务订单,并且需要使用手机银行进行垫付,且垫付资金会通过打卡的方式返还用户,用户同意后向用户发送会员编号和任务经理账号;
(6)用户添加任务经理后,向任务经理提供会员编号,然后任务经理向用户发送刷单任务。任务经理提醒用户把商品加入购物车不要直接付款,把商品截图发给任务经理进行确认。确认后任务经理把收款银行信息发于用户,要求用户使用手机银行进行垫付,用户付款后完成刷单诈骗。
图4-1 诈骗流程图
4.1 登录、注册
(1)注册
应用注册账号时,要求必须输入邀请码才可以注册,首先通过注册页面的在线客服索要邀请码,然后输入邀请码、账号信息进行注册。如图4-2索要邀请码,图4-3注册账号。
在线客服地址:
https://chatlink-new.**qia.cn/widget/standalone.html?eid=c0ebdf793f0c7ec0d1c1ea2794ea7635
图4-2 邀请码获取
账号注册地址(通过服务器下发,会随机变化):
http://api13030615.*tlf.xyz:14747/api/im/registernew
图4-3 账号注册
(2)登录
账号注册完成后,如图4-4在登录页面进行登录。
登录地址(通过服务器下发,会随机变化):
http://api13030615.*tlf.xyz:14747/api/im/loginapisnew
图4-4 账号登录
4.2 客服接待添加好友
(1)登录账号后,客服接待主动添加用户为好友,并把用户添加到约*群中。如图4-5所示:
图4-5 添加客服接待、加入约*群
(2)约*群对用户设置禁言,不断发送色情内容和完成刷单任务人员信息,对用户进行引诱。如图4-6所示:
图4-6 约*群设置禁言,发送色情、完成刷单任务人员信息
4.3 客服接待介绍约*流程
用户登录后,客服接待主动添加用户为好友,介绍约*流程。如图4-7首先介绍约*信息,用户同意后,如图4-8告诉用户约*免费,但是需要完成某电商平台的4个任务订单,并提示需要进行垫付。如图4-9客服接待最后向用户介绍任务需要用到手机银行,并且声称任务垫付钱会通过打卡的方式返还用户,用户确认同意后向用户发送任务编号和刷单任务经理账号,用户添加刷单任务经理进行完成任务。
向用户介绍约*信息:
图4-7 客服接待添加好友后介绍约*流程
提示用户完成某电商平台的4个任务订单,并提示需要进行垫付:
图4-8 要求用户做任务
向用户介绍任务需要用到手机银行,并且声称任务垫付的资金会通过打卡的方式返还用户,用户确认同意后向用户发送会员编号和刷单任务经理账号,用户添加刷单任务经理进行完成刷单任务。
图4-9 向用户发送会员编号和刷单经理账号
4.4 刷单任务执行过程
用户添加刷单经理后,如图4-10要求用户提供会员编号,提供会员编号后向用户发送刷单任务。
图4-10 提供会员编号后发送刷单任务
如图4-11向用户介绍刷单任务执行方法,要求用户要商品加入购物车后截图发给刷单经理确认,不要直接付款。
图4-11刷单任务执行方法
如图4-12用户向刷单经理发送加入购物车的商品截图后,刷单经理向用户发送银行卡账号,要求用户向提供的银行卡使用手机银行进行转账垫付,完成刷单。
图4-12 使用手机银行转账垫付完成刷单
4.5 提示用户完成刷单任务
在使用App的过程中,如果用户没有完成刷单任务,客服接待人员、刷单经理会不断向用户发送刷单任务提醒,提醒用户完成刷单任务等。如图4-13所示。
图4-13 向用户发送完成刷单任务提醒
5. 同家族关联分析
恒安嘉新暗影移动安全实验室“APP全景态势与案件情报溯源挖掘系统”具备强大的同家族App关联分析能力。利用本系统可以通过“包名、类名、签名、通联地址、开发者、邮箱、手机号”等多个维度关联出具备共同特性的App,能够为监管部门处置提供一定的参考依据。
针对“纯里人家”App,利用“APP全景态势与案件情报溯源挖掘系统”关联发现973个代码相似应用。其中有3个名称相同的应用,这3个应用使用了2个不同的包名和3个不同的签名。同家族关联分析图如5-1所示。
图5-1 App同家族关联分析图
利用“APP全景态势与案件情报溯源挖掘系统”关联发现的973个代码相似应用。对其名称、包名、签名进行分析发现,该类应用具备国家反诈中心App在骗局曝光宣传中披露的“变种多、变化快”的特点。虽然App代码相似,但是名称、包名、签名却变化多端。例如这973个应用中不同的名称多达525个,不同的包名多达695个,不同的签名多达621个。其中名称出现次数TOP10如图5-2,包名出现次数TOP10如图5-3,签名出现次数TOP10如图5-4。
在App名称出现次数TOP10中,“尤物”出现14次,次数最多;其次是“金发科技”出现13次;第三是“平安”,出现12次。
图5-2 App名称出现次数TOP10
在App包名出现次数TOP10中,“com.hangbao.youwufang”出现10次,次数最多;“com.youyangzi.meikongj,com.laiganghai.qumeiliu和com.qiaofeiyun.aiaidong”均出现9次,并列第二;第三是“com.s879chuangtaikeji”,出现7次。
图5-3 App包名出现次数TOP10
在App签名出现次数TOP10中,签名MD5“e89b158e4bcf988ebd09eb83f5378e87”出现69次,次数最多;其次是签名MD5“13759cf06f13c6c1de2b852a395b05d2”出现33次;第三是签名MD5“08dd956ef2576ae1e71a38e60e16c20a”,出现11次。
图5-4 App签名出现次数TOP10
6. 通联地址分析
App的主服务器地址是通过服务器随机下发的,所以主服务器地址会随机变化。经过分析发现App主服务器地址均没有备案,并且域名解析均为“20.205.105.240”,IP归属地址为“香港”。应用相关的主服务器地址详细信息如表6-1所示:
|
通联地址 |
域名 |
IP |
IP归属地 |
|
http://api13030615.*tlf.xyz:14747 |
api13030615.*tlf.xyz |
20.205.105.240 |
香港 微软云 |
|
http://api1303061501.*tlf.xyz:16458 |
api1303061501.*tlf.xyz |
20.205.105.240 |
香港 微软云 |
|
http://api1303061502.*tlf.xyz:16568 |
api1303061502.*tlf.xyz |
20.205.105.240 |
香港 微软云 |
|
http://api1303061503.*tlf.xyz:15857 |
api1303061503.*tlf.xyz |
20.205.105.240 |
香港 微软云 |
|
http://api1303052103.*cdvfoj.xyz:19427/api/im/registernew |
api1303052103.*cdvfoj.xyz |
20.205.105.240 |
香港 微软云 |
|
http://api1303052103.*cdvfoj.xyz:19427/api/im/loginapisnew |
api1303052103.*cdvfoj.xyz |
20.205.105.240 |
香港 微软云 |
表6-1 App主服务器地址
7. 典型同家族样本
通过对同家族App分析,发现其中有3个App代码完全相同,并且使用的主服务器域名如表6-1所示,解析IP地址均一致,样本信息如下所示。
样本MD5:
3dd8d29303190d131db4cf0b4418b9f1
2d26e295b56d300ba8242cfc4b45e549
85ca8e906482fcab0c16e0bfb03c25a9
8. 总结
综上所述,该应用是一款通信服务类软件,使用过程中客服接待人员和刷单经理通过多个环节利用色情信息诱导用户进行刷单,并声称用户使用手机银行进行垫付的资金会通过打卡的方式返还用户,来降低用户的警惕,进而完成刷单诈骗,给用户带来一定的经济损失。
恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不贪图小便宜,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。
-
安全从自身做起,建议用户在下载软件时,到正规的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害;
-
很多用户受骗正是因为钓鱼短信的发件人显示为10086、95588等正常号码而放松安全警惕导致中招,运营商需要加强对伪基站的监控打击力度,减少遭受伪基站干扰的几率;
-
各大银行、各支付平台需要加强对各自支付转账渠道的监管,完善对用户资金转移等敏感操作的风控机制,防止被不法分子利用窃取用户网银财产;
-
警惕各种借贷软件的套路,不要轻易使用借贷类App。
================================================
暗影移动安全实验室(EversecLab)是恒安嘉新移动安全能力的支撑部门,由移动安全、数据安全、人工智能、漏洞挖掘等众多领域专家组成,专注于移动安全技术创新与研究,以及移动互联网应用安全的生态建设,包括移动恶意程序分析、安全风险评估、信息安全检测、数据安全评估、黑灰产溯源挖掘、诈骗APP分析、隐私合规检测等等。自主研发第四代移动APP高速研判分析引擎,支持动态检测引擎(动态沙箱技术)、静态检测引擎、AI检测引擎,样本库积累千万级,PB级大数据存储处理技术等。可为客户提供海量应用的信息挖掘,精准、实时、高效的APP检测、情报数据收集、数据关联分析、情报线索扩展,大屏态势感知展示等等。
“安全创造价值”–暗影移动安全实验室坚持以安全为核心,研究为己任,继续创新和开发解决用户问题和行业痛点的产品,为国家的网络安全事业保驾护航。
================================================
原文始发于微信公众号(暗影安全实验室):一款新型刷单诈骗应用分析报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论