【「裸聊」APP】初步逆向分析方法

白天，穿梭在鋼筋與水泥的身軀，面對生活的重壓，感受社交的疲乏。外人眼中的他，是被這座城市接納的成功者。

夜晚，徘徊在月影與星光的靈魂，卸下笑臉的面具，走進黑夜的寂靜。他眼中的自己，是迷失在這座城市的孤獨者。

四周荷爾蒙瀰漫的瞬間，是那原始的衝動，最難抗拒……

毫無戒備的他，成了這場戲的「主角」……

成功安裝她發來的APP後，他卻怎麼也沒法打開。眼看一切都將就此畫上句號，她卻表示，願意和他繼續視頻。於是，在網絡的兩端，兩人「坦誠相見」……

幾分鐘的乾柴烈火後，隨之而來充斥著他的腦海的確是覺醒後的恐懼和被恐懼支配的懊悔。

但為時已晚。

視頻很快被她掛斷，並發來了他的裸聊視頻和裸露的圖片，還附上了他的手機通訊錄名單……

SQ服務，大概是灰產中為數不多的「適應時代發展潮流」的存在。

從曾經的站街N，「變身」髮廊M、按摩M，再到現在出入各大高端會所，穿梭在「無處不通」的網際網路，成為「新主播」，除了可以上門服務，還能在線裸聊。

而由各種視頻裸聊演變出的詐騙案，更是在各類網絡詐騙案中，「名列前茅」的案件類型。

自去年年底開始，全國各地因視頻裸聊發生的詐騙案件數在不斷攀升……

裸聊又稱視頻裸聊、激情視頻，是利用網際網路視頻聊天等從事淫穢色情活動，是視頻聊天的一種表現形式，裸聊是由一般的網絡聊天發展而來的。

從年齡上看，受害者上至58歲大爺，下至15歲學生。愛好看直播，獨居，精力旺盛的90後佔比則最大。

從職業上看，特徵並不明顯。無論是企業老闆、政府職員，還是金融白領、待業青年，每一個都可能成為受害者。但工作越體面，損失金額越大。

從上網習慣看，經常使用微信「搖一搖」、「附近的人」、喜歡加入QQ「福利群」，以及熱衷「陌陌」、「探探」等聊天交友軟體的人，更容易被盯上。

上述案件背景及部分圖文數據來源

公眾號：深圳龍崗警營

不法分子使用社交帳號（QQ、微信、微博、陌陌等）添加受害人後，會通過各種言語挑逗、「刺激」受害人，要求和受害人進行裸聊，並且在裸聊過程中偷偷錄製含有受害人裸露畫面的視頻。

而後通常多再以「網絡太卡」等藉口為由，發送準備好的「裸聊APP」（木馬）下載連結，要求受害人下載，轉移到「環境更好」的平臺。

受荷爾蒙「支配」的受害人成功下載安裝不法分子提供的裸聊APP後，不法分子還會給受害人一個邀請碼，讓其在APP上填寫並註冊。

當受害人完成這一系列的註冊操作，並授權APP應用權限後，其手機中的通訊錄、通話記錄、簡訊等信息就會被偷偷上傳到不法分子的伺服器後臺。

這時不法分子就會向受害人發送其裸聊視頻，裸露圖片和受害人手機的通訊錄信息、好友信息等。

等待受害人的將是無止盡的敲詐勒索。

針對這類詐騙案件，對APP權限進行分析，並獲得作案伺服器IP位址，對於案件偵破尤為關鍵。

今天，航哥就以某裸聊APP為例，給大家簡單介紹一下這類APP的逆向分析方法。希望能給大家在辦理類似案件時，提供一些思路。

我們首先通過下載連結將「裸聊」應用的APK安裝包進行下載固定，或者通過使用平航手機取證分析軟體提取APK文件。然後藉助Apktool Box等工具查殼分析APK是否加殼，打開Apktool Box工具，直接將該Apk文件拖進去，點擊查殼按鈕，我們可以看到程序改程序未加固。

使用jadx-gui等逆向工具打開APK，找到AndroidManifest.xml，裡面記載了程序的版本號、包名、應用請求權限等信息。jadx-gui打開Apk顯示信息如下圖所示。

通過分析APK申請使用權限我們發現，這個APK申請了連接網絡，讀寫通訊錄、簡訊、通話記錄，調用攝像頭、拔打電話等權限。

即一旦用戶安裝並允許APP使用這些權限，APP就可以將本地的通訊錄、簡訊、通話記錄等信息通過網絡上傳到伺服器後端，甚至是可以進一步控制修改手機內的數據。

接下來，通過在逆向軟體中檢索，搜索網站信息，應用可以嘗試通過搜索「URL」或者「HTTP」等關鍵字定位網絡地址，本次分析的應用未找到相關伺服器網絡地址信息，搜索如下：

因為無法在代碼中找到伺服器地址，我們可以採用抓包的方式，對應用運行過程與伺服器交互的數據包進行抓取分析。

將APK安裝到安卓模擬器中（常見模擬器有夜神模擬器、MuMu模擬器、雷電模擬器等），通過配置網絡代理，將網絡代理至抓包軟體能夠抓取的網絡下，隨後運行使用應用，分析抓包軟體中的數據包。

為了使Fiddler軟體順利抓取模擬器的網絡數據包，將目錄切換到模擬器的安裝文件夾下，在空白處按住Shift鍵，右鍵點擊在此處打開命令窗口，打開cmd命令控制器：

輸入adb命令：

adb connect 127.0.0.1:5555

（這裡選用的是雷電模擬器，不同的模擬器，adb連接命令的埠有所不同，可以通過對應官網查詢）

直接把APK拖進模擬器，安裝好後，先不要打開軟體，顯示軟體圖標如下：

抓包之前，先配置下Fiddler，點擊工具欄中的Tools—>Options。

點擊「Connections」，勾選下方選擇項，默認埠是8888。

點擊「HTTPS」，勾選下方選擇項，會出現證書安裝，選擇確定安裝。

（Fiddler證書生成器：http://www.telerik.com/docs/default-source/fiddler/addons/fiddlercertmaker.exe?sfvrsn=2）

導出證書到桌面，點擊Actions，選擇「Export Root Certificate to Desktop」，點擊確定，FiddlerRoot.cer證書導出到桌面，完成設置，關閉Fiddler。

打開雷電模擬器，點擊設置，進入無線和網絡，點擊WLAN，滑鼠左鍵常按幾秒，點擊已連接網絡，修改網絡。

將證書導入模擬器，在模擬器側邊欄點擊更多，選擇共享文件，打開電腦文件夾；在桌面找到FiddlerRoot.cer文件，按提示操作即可導入成功。

到此，環境配置完成，此時重啟Fiddler、模擬器，即可就可以在電腦上進行APP的抓包。

1. 開始抓包

啟動Fiddler，打開目標軟體，軟體的顯示界面如下，填寫手機號和註冊碼：

2. 抓包結果

從「UserPromoter」可以獲取到剛剛註冊填寫的「手機號、邀請碼、uid」等信息。

繼續查看「Raw」，可以看到申請訪問的地址，註冊設備的手機型號、系統型號、版本號、屏幕解析度等。

「UserPostion」中，會獲取設備的位置信息。

打開cmd命令。輸入ping+空格+需要的網址，回車，就可以查詢到網址的IP位址。

或者通過使用nslookup命令來查詢，如輸入 nslookup+空格+需要的網址 ，回車。

至此，初步分析該APP對不法分子伺服器IP定位的技術方法就結束了。

當然辦案機關如果有類似案件的分析需求，也可以聯繫平航科技技術部，為案件提供技術支持。

老話雖說，「見兔而顧犬，未為晚也；亡羊而補牢，未為遲也。」

但一旦身陷此類詐騙案件，也會讓自己陷入被動。而防範此類詐騙的唯一方法，就是不給這些不法分子抓到「把柄」。

不裸聊！

不裸聊！

不裸聊！

重要的事情說三遍！

當然，除了今天提到的裸聊詐騙，網絡詐騙還有很多其他形式。

在新冠疫情期間，當全民上下一心齊抗「疫」時，當有人捨生忘死衝向一線時，有人卻於國與民之危難時，行下作事。

「特效藥」騙局、「防護物資採購」騙局、「獻愛心」騙局、「車船機票退改籤」騙局、「假冒老師收費」騙局、「冒充國家工作人員」騙局等等。

我們在日常生活中需要時刻保持警惕，有良好的真假辨別能力，做到：

不輕信（不輕易相信別人口中「安全」、「正規」、「官方」等迷惑性語言）

不點擊（不點擊任何不明來源的連結）

不洩密（不在陌生網站中留下自己的身份信息和銀行卡帳號、密碼和驗證碼等有效信息）

不匯款（切勿給陌生人轉帳、匯款！如有轉帳需求，務必要核實清楚對方身份。）

2月10日，最高人民法院、最高人民檢察院、公安部、司法部印發《關於依法懲治妨害新型冠狀病毒感染肺炎疫情防控違法犯罪的意見》，提出要依法嚴懲詐騙、聚眾哄搶犯罪。在疫情防控期間，假借研製、生產或者銷售用於疫情防控的物品的名義騙取公私財物，或者捏造事實騙取公眾捐贈款物，數額較大的，依照刑法第二百六十六條的規定，以詐騙罪定罪處罰。

Some of us get dipped in flat, some in satin, some in gloss. But every once in a while you find someone who's iridescent, and when you do, nothing will ever compare.

——電影《怦然心動》

譯：有人住高樓，有人在深溝，有人光萬丈，有人一身鏽，世人萬千種，浮雲莫去求，斯人若彩虹，遇上方知有。

——韓寒博客《愛的代價》

航哥在此「斷章取義」，借用韓寒對這段電影臺詞翻譯的前半部分，來結束今天的文章。

世人千萬種

有人住高樓

有人在深溝

有人光萬丈

有人一身鏽

原創：平航科技

刑法視野下的網絡裸聊