一、概述
图1 左侧为银联会议,右侧为云会议
这类APP与之前的“云会议”样本功能相似,但在侦查和反制过程中要复杂得多,为2024年后期“屏幕共享类”诈骗工具的进一步演变。
大狗涉网线索分析平台(简称<大狗平台>)是成都无糖信息技术有限公司旗下一款针对“新型电信网络诈骗犯罪”专业化、智能化、跨境化等特点,提供涉诈网站识别监控、APP动态分析、线索数据关联、案件研判的一体化服务平台。
为公安、电信、金融及互联网服务提供商在涉诈数据研判及治理封堵分析上提供多方位、深层次、多类型的情报线索及数据支持,助力多部门及企业形成反网络犯罪打击与治理能力。
大狗涉网线索分析平台(后称:大狗平台)于 2024年3月18日首次监控到“银联会议”类样本,目前该类样本仍在活跃中。
值得一提的是,早在去年CCS2024会议上,无糖信息研究员就已提示 RustDesk 样本,并强调其存在被“规模化”利用的风险(如图2)。
图2 CCS2024会议-无糖研究员分享内容
二、样本分析
图3 “银联会议”静态分析报告
从APK报告中(如图3),我们了解到,该类样本主要 基于RustDesk服务构建 。RustDesk是一款开源的远程访问和控制软件,主要由Rust语言编写,能够实现对计算机和其他设备的远程维护。
RustDesk客户端支持多种操作系统,包括Windows、macOS、iOS、Android和Linux。该软件主要应用于远程游戏、网络运维、远程技术支持和会议演示等场景。
图4 静态librustdesk.so特征
我们可以通过分析应用源码,检查该 APP 的 lib/arm64-v8a/ 目录中是否包含“librustdesk.so”来进行判断(如图4)。
根据RustDesk的文档,该类远控软件在被控端启动后会随机生成一个“安全码”,通常为10位数字编码。控制端通过分享该“安全码”进行远程认证和访问控制。
“银联会议”类样本的核心功能正是依托于RustDesk的开源程序,通过自建服务端进行搭建。
图5 rustdesk udp协议传递安全码
在APP启动后,用户点击“加入会议”,此时“安全码”会通过UDP、HTTP等形式传递给诈骗后端服务器。接着,诈骗者便可以远程查看受害者的手机屏幕(如图5)。
图6 引导打开无障碍服务
点击“网络加密”后,APP会引导用户打开无障碍服务。实际上,这一操作并不是为了“网络加密”,而是为了实现远程控制(如图6)。
因此,“银联会议”可以通过“加入会议”和“网络加密”这两个开关,引导用户选择仅共享屏幕,或者同时共享屏幕并被远程控制。
综上所述,无论该类样本如何变化,其核心功能始终是在启动后传输“安全码”以实现屏幕共享,并引导用户打开无障碍模式以完成远程控制。我们对此类样本进行研判分析时:
1. 重点应放在“安全码”传输到哪台服务器上,这台服务器则是重点研判目标。
2. 同时需要注意,该类样本的存活时间极短,一般仅为1~2天。在主服务器关闭失效后,可以通过相关技术特征进行关联分析,按照大狗平台中的上线时间倒排,找到最新的APK进行进一步研判。
三、团伙分析
虽然该类样本在应用功能和操作布局上基本一致,但通过平台分析数据,我们发现仍存在一些技术特征和手法特征,可以用来区分不同团伙的情况。
根据大狗平台对APK提取的“应用结构hash”特征的初步判断,自2024年8月30日至今,已识别出8类样本团伙,其中有的延续至今,有的仅存在几天。
四、联系我们
1. 体验大狗平台,获取更多“银联会议”类样本信息和侦查建议:
a. 下载无糖浏览器:https://browser-prod.nosugartech.com/start/(支持APP/PC)。
b. 注册无糖浏览器账号,即可使用应用中心的大狗平台, 上传APP样本进行研判。
c. 升级高级权限请联系平台人工客服,首次咨询可享7日免费试用(无需提交材料)。
2. 技术支持:试用开通后如有疑问,请点击页面右下角【问问元芳】->【转人工】,获取专业技术支持!
图7 大狗平台在线客服
原文始发于微信公众号(无糖反网络犯罪研究中心):“银联会议”类诈骗APP样本及团伙分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论