我被「裸聊APP」詐騙了
概述:疫情之下,各行各業為了生存發展都在謀求轉型,詐騙界也不例外。就色情類詐騙而言,最近「找小姐」詐騙、仙人跳詐騙幾乎為零,P2P裸貸詐騙隨著整治也告一段落,但「裸聊」被敲詐的案件卻暴漲。其實原因很簡單,你懂得…,在網上尋歡作樂、尋找慰藉,給專業犯罪團夥創造了致富機會。最近暗影實驗室接收了一名受害者的求助,受害者聲稱自己與網友進行QQ視頻裸聊被錄製了視頻,且在網友推薦下載了一款名為糖果的軟體,這款軟體會上傳了用戶手機聯繫人信息,詐騙者以此威脅受害者一直轉帳。
網友信息
詐騙實施流程
和以往我們看到的裸聊APP不一樣,以前你可能只是被誘騙購買會員,少則九塊九,多則九十九,對於很多人來說都是小錢,即使被騙了,也可能就當生活小插曲,過幾天就拋到腦後了。而此次我們面對的是更高級的詐騙手段,說高級但其實又是換湯不換藥。「裸聊」敲詐的方法很簡單,嫌疑人通過聊天軟體等各種渠道做推廣,吸引受害者下載安裝「直播軟體」,然後用美女裸聊為誘餌,利用社交軟體主動發送視頻與受害者進行裸聊,你和美女裸聊的全過程都被錄製了視頻。而其實,這個直播軟體是個木馬程序,可以盜取手機上的全部通訊錄。詐騙者利用受害者害怕裸聊事件被暴露的恐懼心理,威脅用戶支付一定費用刪除裸聊視頻。
裸聊詐騙實施流程
樣本信息
代碼分析
(1)APP運行界面應用首次運行請求申請讀取聯繫人信息權限、且用戶需輸入邀請碼才可進入應用。
惡意軟體運行界面
(2)技術手段該應用啟動後加載了asset目錄下的index.android.bundle文件。
權限請求列表
(2)在js中通過調用java的getAll()方法獲取用戶聯繫人信息。
js中調用java代碼
(3)Java代碼中實現了獲取用戶聯繫人信息的功能。
獲取聯繫人信息
(4)將獲取的用戶聯繫人信息上傳至伺服器http://tg.ju***n.cc/index.php/Api/Index/telAdd。
上傳用戶聯繫人信息數據包
(3)惡意程序伺服器惡意程序的伺服器後臺:http://tg.j***un.cc/admin/index/login。
惡意程序伺服器溯源分析
通過受害者提供的線索以及我們通過分析得到的線索,我們對該app的信息進行了溯源得到以下信息。
(1)嫌疑人:姓名:*安輝地址:嶽陽市**樓區**東路355號手機號碼:180***28329
溯源腦圖
(1)伺服器地址溯源:tg.j***un.cc該伺服器地址IP信息為:180.***.228.141、IP位址為香港。對該IP進行反查得到以下域名。
域名IP信息
(2)支付方式溯源對詐騙者提供的收款碼進行掃碼,根據支付寶顯示信息「景**超市」,我們進行檢索,找到大量相關數據,有一家嶽陽市—景**超市格外顯眼。
支付寶信息
接下來我們就該超市展開進一步溯源,得知這家超級全名為「嶽陽南***區景***超市」,地址在「嶽陽市南**區求***路355號」,是由一位名叫「*安輝」的人經營。這與支付寶付款碼的姓名不謀而合,我們覺得該人有很大嫌疑。
「景**超市」企業信息
(3)銀行卡信息溯源我們對詐騙團夥提供的用於收款轉帳的銀行卡信息進行查詢發現有兩張銀行卡開戶地在湖南,其中一張銀行卡開戶地在湖南岳陽這與我們查詢到的嫌疑人「*安輝」所在地一樣。因此我們斷定「*安輝」為嫌疑人之一且詐騙團夥可能在湖南這一片:
QQ溯源詐騙者使用的QQ。QQ號:3461***870用於引誘用戶進行裸聊。QQ號:345***2615用於事後威脅用戶進行詐騙轉帳。這兩個QQ號都是新註冊的小號,我們請求添加QQ,但是被拒絕,且QQ空間也拒絕對外開放。可見詐騙者的防範心很強,並不隨意同意他人添加。基本都是主動出擊添加目標。
詐騙者QQ頁面
擴展分析
通過關聯分析在恆安嘉新App全景平臺態勢平臺上,我們發現多款用於裸聊的惡意軟體。
惡意應用擴展信息
應用伺服器地址:
這些惡意程序都具有相同的代碼結構。但是有的應用的籤名信息卻不同,說明這些應用不是同一製作者製作,不是由同一製作者製作卻擁有相同的代碼。
後臺伺服器
通過溯源新發現的伺服器後臺,具有群發視頻的功能,可以通過授權碼找到對應的受害者,之後群發簡訊。[color=rgb(29, 173, 167) !important]
總結
詐騙團夥使用的詐騙手段不斷升級,從利用仿冒應用進行電信詐騙,到利用木馬程序盜取用戶通訊錄信息,同時配合裸聊進行敲詐無不與金錢息息相關。用戶應在提升自身防護意識的同時做好自身,不輕信他人,堅決抵制不良誘惑。讓網絡詐騙從無孔不入到無孔可入。同時開發者應該嚴把開發關卡,保證自己開發的應用不存在超採風險,不要隨意嵌入未知的SDK,即使使用也希望能在用戶隱私協議中申明相關SDK具體用途以及要獲取的用戶信息,讓用戶心裡有數。