[暗影安全实验室]黑灰产的廉价“温床”——跑分平台
本帖最后由 Andy0214 于 2020-5-21 12:20 编辑黑灰产的廉价“温床”——跑分平台
注意:文章只为了揭露这种问题,读者不要过度解读。
背景:上一篇“我被“裸聊APP”诈骗了”发布之后,很多网友私信反映,根据大量留言内容,主要包含两个方面,一方面是他们自己的支付宝收款码、银行卡号被诈骗团伙利用了,另外一方面是自己被骗了,看有没有什么办法追回失去的金钱,这是什么情况?根据我们以往的经验,这很有可能是诈骗团伙使用第三方平台获取的收款码或银行卡信息来逃避追责,以降低安全风险,或者平台跑路。
在恒安嘉新 App全景态势与案件情报溯源挖掘平台上,我们发现一批关于“跑分平台”的应用程序,如图1所示,这类应用程序行为并不复杂,通常是采用网上公开源码或工具,批量一键生成,制作成本低,从年龄的角度划分,这类样本制作、传播趋向年轻化。本文主要是针对“跑分平台”的运作模式、黑产溯源、危害等角度进行解析,让大家有一个初步的了解,以免再次上当受骗。
https://p2.ssl.qhimg.com/dm/1024_568_/t01ab6fd407a54606e3.png
图1-1“跑分”平台的应用程序列表
1.“跑分”平台黑产分析
所谓“跑分”,是利用正常用户的微信、支付宝收款码以及银行卡替别人收款,从中赚取佣金。而“跑分平台”就是专门为“跑分”搭建的一个网站或APP平台。通过搭建平台网站,以类似网约车“抢单”的模式进行运作。主流的“跑分”有微信跑分、支付宝跑分、银行卡跑分,最近看到很多平台又推出了“拼多多”跑分平台。
https://p5.ssl.qhimg.com/t0129ebab7d2a485c82.png
图1-2 跑分平台运作模式
1.1 “跑分”平台推广方式
网赚兼职是“跑分”的主要推广方式,我们在某网站上找到了大量“跑分”兼职项目,由于招募者宣称来钱快、回报高,不少年轻人特别是在校大学生参与其中。而疫情期间大多数人无收入来源,网上兼职对于他们来说便是刚需。https://p5.ssl.qhimg.com/t019a9da620c9702cdb.png
图1-3 招收兼职推广
为了获取大量的微信、支付宝二维码,拓展业务,“跑分平台”发展庞大的代{过}{滤}理团队。他们的自称是“码商”,大部分码商最开始都是自己玩跑分,后来才开始发展下线。他们去各类兼职群里发广告,在论坛发帖,以微信、支付宝流水限额、帮助有需要的商家、平台代收款等幌子蒙骗用户参与。
https://p2.ssl.qhimg.com/dm/1024_308_/t0153ac31e7aacc8f5c.png
图 1-4某跑分官网招收代{过}{滤}理
在与发布兼职消息的代{过}{滤}理取得联系后,他们会要求用户下载一款应用。该应用便是他们用来发布订单、接收订单、交易的“跑分平台”。
https://p0.ssl.qhimg.com/t01fb0d09f299367afb.png
图1-5 与代{过}{滤}理聊天记录
通过各个社交账号发送“跑分”APP:
https://p1.ssl.qhimg.com/t010af510824f9d8250.png
图1-6 下发“跑分”APP
在此过程中我们还了解到这些兼职平台发布信息的账户信息也是租借的:
https://p3.ssl.qhimg.com/t011a204eceb0796b76.png
图1-7聊天记录信息
1.2 “跑分”平台黑产运作流程
深入了解之后,我们了解了“跑分平台”运作的流程大体如下:
https://p3.ssl.qhimg.com/t01bef4259bcf533265.png
图1-8“跑分平台”运作流程图
(1)已经从事“跑分”的用户需要拉下级,发展下线;
(2)租借正常用户账户发布兼职信息;
(3)需要兼职的用户找到发布兼职的的平台,找到相关兼职;
(4)发布兼职的用户让兼职人员添加自己的某某社交账户,并发送“跑分平台”信息;
(5)兼职用户下载“跑分平台”APP,并注册登录、完善信息,包括了绑定银行卡、上传收款码、交押金等;
(6)黑灰产团队在“跑分平台”放单;
(7)兼职用户在“跑分平台”接单;
(8)黑灰产团队将从“跑分平台”获取的对应用户的收款码、银行卡号发给被诈骗的用户;
(9)被诈骗的用户将钱转给兼职用户;
(10)”跑分平台”将兼职用户的押金转给黑灰产团队账户。至此,一个完成的跑分流程完成,黑灰产团队诈骗得来的钱彻底洗白,整个过程涉及到不知情用户较多,溯源过程极难。
2.“跑分平台”APP分析
我们在追踪这些代{过}{滤}理用户时,也在网上搜索了“跑分平台”相关资料,发现大部分的“跑分平台”都是网上公开的源码通过代码打包平台一键生成的,成本极低,可以同时生成Android客户端、IOS客户端以及网页版,可以适应不同的用户群体。网上的源码售卖以及公开的源码:
https://p5.ssl.qhimg.com/t018bcb3bfc1cebb31f.png
https://p2.ssl.qhimg.com/t0162865f332874ecb7.png
图2-1个人、公司公开售卖源码
我们详细分析了其中一款APP:
2.1 样本概况样本
名称:开心赚
MD5:6BD44F509208C04F1DD9C66893B1DCAF
包名:io.dcloud.www.kaixinzhuanwang.com
证书MD5:EFE64EA9F811B577737E6818A858761A
打包时间:2020年05月08日16时03分26秒
https://p4.ssl.qhimg.com/t01ed06219f68f38657.png
图2-2 程序安装图标
2.1 样本行为分析
这款应用是通过某平台打包而成,该平台是一个Web应用程序(可以通过Web访问的应用程序)云打包平台,我们可通过该平台将网页代码打包成APP。打包后网页代码主要放在Asset目录下。代码结构如下图所示:https://p0.ssl.qhimg.com/dm/1024_588_/t015037361fbe39f859.png
图2-3 代码结构各功能界面以及功能代码:
https://p5.ssl.qhimg.com/dm/1024_433_/t011a9722ddf5051caf.png
https://p0.ssl.qhimg.com/dm/1024_458_/t01e7f91fe552311b21.png
图2-4 代码页面
嵌入的第三方SDK会收集用户安装的应用列表和App的运行日志。
上传应用程序列表、固件信息:
https://p0.ssl.qhimg.com/t016a5198493d389ae4.png
https://p1.ssl.qhimg.com/dm/1024_531_/t015c4cb61fa87c1dc6.png
图2-6上传应用程序列表、固件信息上传APP运行日志:
https://p1.ssl.qhimg.com/dm/1024_496_/t01fad8c8ee9deb8077.png
图2-7 上传APP运行日志
3.“跑分平台”相关溯源
通过溯源我们找到以下信息:
https://p1.ssl.qhimg.com/dm/1024_890_/t0122bd6f0a8c7713c4.png
图3-1 溯源脑图
3.1 作者一
我们在分析“开心赚”源码时,发现了疑似源码作者注释信息:
https://p2.ssl.qhimg.com/dm/1024_507_/t01b094de80a4868091.png
图3-2 疑似“开心赚”网页源码作者: 深海QQ:78@qq.com]10******78@qq.com
https://p4.ssl.qhimg.com/t010e416d6230db7907.png
作者在QQ中有申明,源码仅用作学习测试研究,请勿作任何商业用途
图3-3 作者QQ信息我们检索了该QQ相关信息,证实该用户即为源码作者,并且长期从事源码创作。该作者还注册了专门用于售卖源码的淘宝店铺。
https://p2.ssl.qhimg.com/dm/1024_446_/t016bb1bfcaf38fc7bc.png
https://p5.ssl.qhimg.com/t0121c98c17a7a34998.png
图3-4 源码售卖店铺信息该用户在早期学生时代就发布技术贴,主要是QQ引流:
https://p5.ssl.qhimg.com/t018c5a428a0830ed60.png
图3-5 作者引流方式
3.2 作者二
同样在源码中我们找到了以下作者的注释信息:
https://p0.ssl.qhimg.com/dm/1024_269_/t0147681f796d514ccb.png
图3-6 源码作者信息作者: 深海QQ:6@qq.com]5*****6@qq.com我们在该作者的QQ详细页面中找到了作者的公司以及他的个人网站。
3.3 服务器分析
通过App全景态势与案件情报溯源挖掘平台样本同源性关联分析得到IP地址103.**.**.60位于中国香港,该域名多次被标记为垃圾邮件、僵尸网络。
绑定过域名信息:
序号域名
1k*.com
2w*.ka****pp.com
3w*.ka****ng.com
4w*.ma***kit.com
5s*.com
6w*.sk****fly.com
后台地址:http://www.ka****pp.com/admin。
https://p0.ssl.qhimg.com/dm/1024_508_/t0130d6712be1179245.png
图3-10 服务器后台
4.“跑分平台”的危害
4.1 泄露个人隐私信息
用户要想在平台接单赚取佣金,首先需要注册账户并提交对应微信、支付宝的收款码,银行卡信息,有些平台还需要绑定银行卡账户,甚至实名等。这些信息都会被上传到平台后台。既然说了跑分平台不存在正规与否,那么你的信息安全吗?我们经常看到某某平台大量用户信息泄露的新闻,那么用户在该平台的信息就安全吗?答案是肯定的,不安全,分分钟平台就可能将用户的信息转卖给其他不法组织。而这些个人信息一旦被不法分子收集利用,后果不堪设想,例如名誉受损、推销电话或短信骚扰、接到诈骗电话、收到垃圾邮件、账户密码被盗、甚至仿冒你的身份进行贷款等。
https://p0.ssl.qhimg.com/t0191c7c425bd0f7f8d.png
图4-1“跑分平台”上传信息页面
4.2 骗取押金
不管是早期的刷单平台,还是今天我们看到的跑分平台,都属于非正规平台,不能保证用户资金安全,可能你今天刚交保证金,明天就被拉黑了;也可能前几天让你尝到甜头,佣金颇丰,后面要做大单子的时候,你充值了保证金,结果平台跑路了,那么你充值的保证金将血本无归 。4.3 封号收款码被不法分子使用后,可能从在被用户举报行为,也可能因为大量收入不明来源资金而提示账户异常等,甚至造成账户冻结。
https://p3.ssl.qhimg.com/t01b01b88a29e1dc7f7.jpg
图4-2 用户资金被冻结
4.4 成为违法犯罪的帮凶
黑/灰产人员在平台放单,用户抢单成功,黑/灰产人员将用户的二维码用于违法活动收款,而用户收到款+佣金提成后,对应存放在平台的保证金也会转入到黑灰产团伙的账户上。在这个过程看似用户并没有做什么,但实则已经触犯刑法,用户得到了一点利润,但却未意识到自己已经成为了违法犯罪的帮凶。下图截至《中华人民共和国刑法》。
《中华人民共和国刑法》第一百九十一条:
https://p5.ssl.qhimg.com/t017a016229ca6461f8.png
图4-3《中华人民共和国刑法》第一百九十一条
5. 总结
跑分平台就是利用用户“占小便宜”的心理,利用正常用户的微信、支付宝收款码,以及银行卡替别人收款,然后自己从中赚取少量佣金,这类“跑分平台”的App大多数是网上公开的源码,一键批量生成,成本极低,可以生成Android、IOS客户端,及网页版等兼容不同平台,可以适应不同的用户群体。很容易造成用户个人信息泄露,经济财产损失,封号,甚至成为黑灰产违法犯罪的帮凶。在此,暗影实验室提醒大家,不轻易相信陌生人,不占小便宜,不轻易点击陌生人发送的链接,不轻易下载不安全应用。
[*]安全从自身做起,建议用户在下载软件时,到正规的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害;
[*]很多用户受骗正是因为钓鱼短信的发件人显示为10086、95588等正常号码而放松安全警惕导致中招,运营商需要加强对伪基站的监控打击力度,减少遭受伪基站干扰的几率;
[*]各大银行、各支付平台需要加强对各自支付转账渠道的监管,完善对用户资金转移等敏感操作的风控机制,防止被不法分子利用窃取用户网银财产;
[*]警惕各种借贷软件的套路,不要轻易使用借贷类App。
感谢楼主的分享,让我们知道了有这么一种新型犯罪的存在。希望大家能向身边的朋友告知,减少这类犯罪事件的发生, 如长青 发表于 2020-5-21 11:38
5213606不是一个PHP框架的作者么,我还加了官方技术交流群呢,确定是黑产作者?而不是框架的版权信息?:e ...
该作者有售卖相关源码风险,自己用自己框架开发源码很正常,有几张图可以看看,然后搜搜他的店铺,应该有千丝万缕的关系,还是要管好自己的源码 天上不会掉馅饼,只会掉陷阱 {:1_921:}浅谈技术追踪,某些部门要有这技术和能力,现在恐怕会少很多人被骗 chenyi2783 发表于 2020-5-20 15:05
浅谈技术追踪,某些部门要有这技术和能力,现在恐怕会少很多人被骗
一般都有,就是人力,物力等等都要综合考虑 谢谢楼主~~~ 微信跑分不是去年很早就有相关新闻了吗?这些人还换着法子的玩,不怕被抓吗? 看完收益不浅啊 学习了,感谢分享! 一年又一年 发表于 2020-5-20 15:22
微信跑分不是去年很早就有相关新闻了吗?这些人还换着法子的玩,不怕被抓吗?
很多东西都是换汤不换药,就是设置的门槛高点,更难找到了 太可怕了