[奇安信]窥探裸聊诈骗背后黑色产业链的一角
近日,奇安信病毒响应中心在日常黑产挖掘过程中发现有人以裸聊的形式在社交网络上传播某种视频直播软件,该软件在提供正常直播内容的同时还会在暗地里收集用户数据,而受害者往往控制不住自己的欲望,导致个人信息被泄露,严重的甚至被敲诈钱财该APK样本经过加固,输入手机号和正确的推广码后才会执行恶意代码将相关信息上传到服务器上。所以该样本免杀效果非常好,很难被探测到,经过后续扩展发现这是一套完整的裸聊诈骗框架,已经被大量的黑产团伙使用。通过奇安信大数据平台监测,已有群众中招,为防止威胁进一步扩散,病毒响应中心负责任地对相关样本进行披露和分析。背景近几年,随着多种新型网络诈骗兴起,前有博彩杀猪盘在东南亚搞的风生水起,后有网贷,校园贷在内地危害人间,造成了当事人倾家荡产、自杀等人间惨剧,严重影响了社会秩序。而本文让我们来聊一聊裸聊与诈骗。任何事物都会不断的发展进化,以适应当下的环境,裸聊也不例外。早期裸聊的形式较为简单,黑产团伙建立色情站点,会先通过“试聊”的方式消除用户的顾虑,几分钟后弹出对话框提示“账户余额不足”需要充值才能继续聊天,之后还会提供VIP会员服务,加入VIP后可以享受女主播一对一裸聊服务和上门服务。
早期的传播方式也较为单一,大部分都为导航站网页弹框,或者一些国产流氓软件弹出每日资讯中的内容。
到了2019年黑产们改进了裸聊的形式,并结合大火的“杀猪盘”模式,从原来只弹框的被动接触,变成了现在的主动和被动相结合的形式,主动在社交网络上与你发起会话进行聊天,使用相关《话术》诱导你进行裸聊,上钩之后会发你app的下载二维码以及对应的邀请码。
裸聊App会获取你的通讯录并录制裸聊时的视频,裸聊结束后会对你进行恐吓和勒索。
大部分受害者都会乖乖付款,花钱消灾:
推广方面,与搞引流的黑产合作已经是常态,同时在社交平台上收集目标男性的QQ号主动出击,提高成功率。
最近我们发现黑产开始推广“用户激励政策”,介绍裸聊平台给认识的人,邀请成功后“返利” 。
样本分析
文件名MD5类型
邂逅.APKd7be150461334e178ec4134dfe9bfc3fAPK文件
App运行界面如下:
执行过程中会获取本机详细信息
监听短信消息
定位功能
录音和相机功能
输入手机号和对方提供的邀请码。
向远程服务器发起请求,js代码会先校验手机号和邀请码。
会根据不同的操作系统申请权限
获取通讯录
最后将上述信息上传到远程服务器
关联分析分析样本的过程中发现一些注释引起了我们的注意:
这些注释不像是攻击者编写,我们更倾向于是开发者的笔记,攻击者魔改后用于裸聊诈骗,基于上述思路,我们找到了该裸聊框架的源码。
源码中附带安装教程,非常详细:
必须严惩此等卑劣行径
好不容易爽一把
没想到还要遭非法勒索 安卓手机的权限一直是个大问题,不给app权限不让用,这也是早期安卓开发留下来的坏毛病,权限不足会出现各种困难,干脆一次性获取所有权限一了百了,导致了今天的局面。
苹果这方面又太过,通话录音都不允许。 遭了,打飞机的视频要被人泄漏了,该不会有人看着打飞机的视频打飞机吧。 大佬大佬 大佬,强啊666 骗子越来越无法无天了 太黑了,这个 我竟然不懂,看来是上班上傻了 干他们一波先 大佬牛逼