吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 36513|回复: 191
收起左侧

[转载] [暗影安全实验室]“裸聊APP”背后的秘密

    [复制链接]
Andy0214 发表于 2020-6-22 13:12
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Andy0214 于 2020-6-22 13:22 编辑

前几日看到吾爱病毒样本区求助,《有没有大佬帮我查询这个APP被勒索了俩千多块》,特意分析了一下,并在实验室公众号发布了相关文章,通过分析该伙伴求助的应用,我们找到了该应用的后台地址并bp登录,同时经过溯源找到了另外三个相同的后台,三个后台总共被骗用户小十万,现在每天还有人上当受骗,希望看到文章的小伙伴能相互转告,提醒自己身边的人。
“裸聊APP”背后的秘密
1. 概述
书接上文我被“裸聊APP”诈骗了,近几天又不断收到网友的求助,不过明显网友比之前聪明不少,不是一味的打钱,而是通过网络寻求帮助。钱虽然没损失多少,但是自己信息还在诈骗团伙那边存着,自己心里还是没底,希望能够得到帮助。针对这种窃取短信、通讯录的APP,即使没有其他恶意行为,我们也要严厉打击,对于用户来说手机上最隐私的东西莫过于短信和通讯录,这也是诈骗团伙最想拿到的数据,诈骗团伙可以通过这些数据做人物关联,方便撰写诈骗术语,容易取得被诈骗者的信任。

图1 裸聊诈骗实施流程
2. 样本分析
2.1样本基本信息
APP名称荔枝
应用包名com.y1lizhi50050.qrf
文件MD54A9635D9C2D94968E6795FBF161ADD46
签名信息CN=(t1y1*****505050),OU=(y1*****50050@qq.com), O=(11*****50@qq.com), L=(Beijing), ST=(Beijing), C=(zh)
签名MD541396268D7B1374B98B494077F1AF567
下载链接https://ww.l*****s.com/ic***9g
图标
2.2代码行为分析
该程序启动后需要用户输入授权码和自己手机号,授权码一般是邀请用户裸聊的诈骗团伙人员提供给用户的,主要是为了检索对应用户的信息,手机号同样也是为了定位是哪一个用户。程序通过所谓的聊天、诱惑等功能诱导用户注册登录,在用户注册后程序会获取用户的短信、通讯录信息上传到指定服务器,接下来就是诈骗团伙拿到用户信息以此来诈骗用户。
2.2.1APP运行行为
APP运行后需要用户输入授权码和自己手机号,授权码一般是邀请用户裸聊的诈骗团伙人员提供给用户的,主要是为了检索对应用户的信息,手机号同样也是为了定位是哪一个用户,用户输入信息后,APP一直处于加载状态。

图2 恶意软件运行界面
2.2.2获取通讯录信息
用户输入授权码和手机号后,程序后台私自获取用户通讯录联系人上传到指定服务器。
服务器地址:http://l***.e-***.cn/api.php?service=contacts.create


图3 获取通讯录信息

图4 上传通讯录数据包
2.2.3 获取短信息
程序后台私自获取用户短信息上传到指定服务器。
服务器地址:http://l***.e-***.cn/api.php?service=sms.import。


图5 获取短信息
2.2.4其他用户信息
在分析该程序时安全人员还发现该程序是通过某平台直接打包的应用,并发现该程序嵌入了平台的SDK,该SDK存在私自上传用户手机号、应用程序列表以及大量固件信息等到平台服务器。嵌入平台SDK程序框架:
图6 嵌入平台SDK程序框架
该平台打包的应用启动后直接会启动子包相关组件:直接启动SDK相关组件:

图7 启动平台SDK相关组件拼接固件信息上传:

图8 拼接固件信息上传

图9 上传启动报告数据包
具体上传用户信息的服务器地址:

图10 上传用户信息的服务器地址
上传启动报告后,会继续上传用户手机号、IP地址、MAC地址、固件信息以及应用程序列表:拼接用户信息:

图11 拼接用户信息上传用户信息到指定服务器:

图12 上传用户信息到指定服务器

图13 上传用户信息数据包
在全景态势感知平台配置该平台打包应用特征,发现有三万多款应用,可见该平台使用者较多,获取信息不计其数。

图14 全景态势感知平台关联分析
3.情报挖掘溯源

图15 溯源信息脑图
基于该程序上传用户信息服务器地址:http://l***.e-***.cn/api.php进行情报线索的扩展,通过域名whois查询,可以发现该域名联系人相关信息:
联系人:温**
邮箱:21*****28@qq.com

图16 域名whois查询
邮箱反查:

图17 邮箱反查
查询以上域名的子域名,其中ce****89.cn下的q***.c****89.cn存在一个后台服务器地址:
http://q***.c****89.cn/admin/login.html

图18 c****89.cn子域名
通过查询l***.e-***.cn域名对应IP地址,得到另外两个相关联的域名:c.li******ve.cc、6**.a******ec.com,
域名对应都存在一个后台服务器:http://c.li******ve.cc/admin/login.html
http://a******ec.com/admin/login.html

图19 IP地址关联域名
安全人员发现四个后台地址的主要功能完全一致,主要储存获取的用户信息:

图20 后台服务器
通过溯源新发现的服务器后台,具有群发视频的功能,可以通过授权码找到对应的受害者,之后群发短信。[color=rgb(29, 173, 167) !important]

图21 后台服务器群发短信
总结
诈骗团伙使用的诈骗手段不断升级,从利用仿冒应用进行电信诈骗,到利用木马程序盗取用户通讯录信息,同时配合裸聊进行敲诈无不与金钱息息相关。用户应在提升自身防护意识的同时做好自身,不轻信他人,坚决抵制不良诱惑。让网络诈骗从无孔不入到无孔可入。同时开发者应该严把开发关卡,保证自己开发的应用不存在超采风险,不要随意嵌入未知的SDK,即使使用也希望能在用户隐私协议中申明相关SDK具体用途以及要获取的用户信息,让用户心里有数。

免费评分

参与人数 97吾爱币 +83 热心值 +90 收起 理由
冰蚌 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
天华洛师 + 1 + 1 我很赞同!
sapin + 1 用心讨论,共获提升!
sword803 + 1 + 1 厉害了!
xiaoyan233 + 1 + 1 用心讨论,共获提升!
飞行者 + 1 我很赞同!
lqyun202xxx + 1 + 1 我很赞同!
aolaiqf + 1 + 1 谢谢@Thanks!
伊卡卡洛斯 + 1 + 1 我很赞同!
viplzq123 + 1 + 1 我很赞同!
一碗白米饭 + 1 我很赞同!
069 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wjchuan + 1 + 1 鼓励转贴优秀软件安全工具和文档!
展翅De的飞鸟 + 1 + 1 用心讨论,共获提升!
17601243856 + 1 用心讨论,共获提升!
彤哥来啦 + 1 用心讨论,共获提升!
千秋辭 + 1 + 1 用心讨论,共获提升!
cms061817 + 1 热心回复!
MUMUAA + 1 热心回复!
yx69 + 1 + 1 谢谢@Thanks!
Moriarty_Jim + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
nahrepus + 1 + 1 我差点中招了
ycc010124 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
YYYYY + 1 + 1 热心回复!
决堤的回忆 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
236102019 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
ysplovewzj + 1 我很赞同!
hello-world + 1 + 1 我很赞同!
peng1314 + 1 + 1 用心讨论,共获提升!
hahahaha0257 + 1 鼓励转贴优秀软件安全工具和文档!
刀下生、刀下死 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
无言即爱 + 1 鼓励转贴优秀软件安全工具和文档!
丶陈大叔 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
plj529 + 1 用心讨论,共获提升!
crimes41 + 1 我很赞同!
olivery52 + 1 我很赞同!
阡陌红尘 + 1 + 1 热心回复!
青山遮不住 + 1 + 1 谢谢@Thanks!
empereur + 1 + 1 用心讨论,共获提升!
依旧沉沉 + 1 + 1 最后一句话进行了升华
柯小南 + 1 + 1 我很赞同!
da7363111 + 1 + 1 谢谢@Thanks!
abcd16610 + 1 + 1 我很赞同!
xzxi888 + 1 谢谢@Thanks!
wyz158690 + 1 谢谢@Thanks!
shamelex + 1 + 1 鼓励转贴优秀软件安全工具和文档!
瞬光亮 + 1 + 1 我很赞同!
kercotub + 1 + 1 用心讨论,共获提升!
craftywolf + 1 + 1 我很赞同!
Pandain7 + 1 + 1 热心回复!
backin886 + 1 + 1 我很赞同!
xuhh + 1 用心讨论,共获提升!
lookerJ + 1 + 1 热心回复!
lyslxx + 1 + 1 我很赞同!
骄阳. + 1 + 1 谢谢@Thanks!
菜鸡配小白 + 1 谢谢@Thanks!
Beys52 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
MIC生命互联网 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
蜗巨 + 1 谢谢@Thanks!
jk346591653 + 1 + 1 亲身体会过,不过用的是手机的隐私空间里面没联系人,不知道有没有事
Undefine + 1 + 1 用心讨论,共获提升!
九天、 + 1 鼓励转贴优秀软件安全工具和文档!
cpckly + 1 + 1 说的很详细,奥利给
2020一味 + 1 + 1 欲望啊
iteamo + 2 + 1 热心回复!
lwy001 + 1 + 1 我很赞同!
黄sir + 1 热心回复!
885 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
拉玛西亚 + 1 + 1 谢谢@Thanks!
zhuzhuxia111 + 1 + 1 我很赞同!
durongze + 1 我很赞同!
kkpljat + 1 + 1 谢谢@Thanks!
梧桐月牙 + 1 + 1 用心讨论,共获提升!
52大懒汉 + 1 + 1 谢谢@Thanks!
ljx588 + 1 + 1 我很赞同!
情系吾爱 + 1 + 1 热心回复!
s0nRise + 1 + 1 用心讨论,共获提升!
狻猊帝 + 1 + 1 我很赞同!
shen12wang + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
jimmyhyh + 1 + 1 鼓励转贴优秀软件安全工具和文档!
pwp + 2 + 1 请问,群发短信接口能透露出来用一下不
向日葵cx + 1 + 1 我很赞同!
空白. + 1 + 1 用心讨论,共获提升!
poppier + 1 + 1 我很赞同!
清风徐易来 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
大肉饼 + 1 + 1 太强了,谢谢大佬
kiikjj + 1 + 1 我很赞同!
wlq127 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
dragonv + 1 我很赞同!
烈焰伯爵 + 1 + 1 用心讨论,共获提升!
葱油拌面 + 1 + 1 用心讨论,共获提升!
fllc + 2 + 1 比JC厉害多了
无名呵 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
perfectjay + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
传说中的yang哥 + 1 + 1 热心回复!
litf + 1 + 1 我很赞同!
52HLW + 1 + 1 用心讨论,共获提升!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

斯文小子 发表于 2020-6-23 00:20
我也差点中招了。和我聊骚的时候我就觉得天上不会掉馅饼。但是我就想看看她怎么骗我,聊着聊着,我差点失去理智。她一直催我要裸照,我发了别人的,在她以为要得逞的时候我无情地揭穿了她的阴毛
perfectjay 发表于 2020-6-22 13:32
那小子 发表于 2020-6-24 11:16
这种套路很深的,最好用个备用机  不插手机卡  通讯录存110 120 119号码
yuntang 发表于 2020-6-28 23:29
perfectjay 发表于 2020-6-22 13:32
可怜的是,这种app的用户,不会上吾爱

更可怜的是他们都不知道有这网站,然后知道了还注册不了
情系吾爱 发表于 2020-6-22 14:04
注册就能获取短信了么?那经常安装看片软件该怎么防护呢
DualCore 发表于 2020-6-22 20:18
Andy0214 发表于 2020-6-22 18:14
对于经不起诱惑的人,不需要技术含量

这才是最可悲之处。大多数时候不是网络犯罪手段高明,而是受害者各种形式的缴械投降。而且这些人还不听劝——你说他几句,还觉得你是装X多管闲事。
Joker-珈珈辉 发表于 2020-7-27 23:05
说实话,上次我骗了一个骗子12块钱。最后我装作不正人员套路她,得知他确实在做一些。。。当时害保留了一些ip和数据包还有很多其他的信息,本来想一一零来着,后来感觉不想找事。就删了。哈哈
HHAK003 发表于 2020-6-22 13:25
Andy0214 发表于 2020-6-22 13:24
主要是有“小妹妹”或者“小姐姐”诱惑

有些里面 也有  “小哥哥”的哟
小雅皇哟 发表于 2020-6-22 13:34
大佬很强  表示支持  另外说一句  类似这种APP背后所谓的“小姐姐” 应该全是大diao萌妹 为了获取一些利益装的吧
 楼主| Andy0214 发表于 2020-6-22 13:27
愚无尽 发表于 2020-6-22 13:23
这种都会相信的人 我也不知道说什么

我能说有几百万人都被骗了吗
封羽 发表于 2020-6-22 13:21
牛皮就两个字,我只说一次
gms 发表于 2020-6-22 13:23
写的很好
愚无尽 发表于 2020-6-22 13:23
这种都会相信的人 我也不知道说什么
HHAK003 发表于 2020-6-22 13:23
所以APP还是要在正规应用市场下载!
 楼主| Andy0214 发表于 2020-6-22 13:24
HHAK003 发表于 2020-6-22 13:23
所以APP还是要在正规应用市场下载!

主要是有“小妹妹”或者“小姐姐”诱惑
hby 发表于 2020-6-22 13:26
太可怕了
 楼主| Andy0214 发表于 2020-6-22 13:26
HHAK003 发表于 2020-6-22 13:25
有些里面 也有  “小哥哥”的哟

“”里面就是,^_^
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表