背景:近日,恒安嘉新暗影安全实验室平台监测到一款名为“乐宝”的仿冒应用,安全研究人员第一时间对该应用进行了研究分析,发现该应用表面上是一款与微信具有相似页面的聊天软件,实则是一款推广****的推广软件。用户需通过本应用扫描特定二维码加群进入****群组才能接触到****内容,具有极高隐蔽性,屏蔽有效的犯罪侦查手段。内容以****盈利为主,软件制作者利用该软件推广****,进行网络招聘主播,网络约嫖,通过会员付费发展规模。
本文主要是针对“乐宝”的传播方式、盈利模式、溯源分析、情报挖掘等方面进行披露。以下为整个分析过程的流程图。
1. 样本特点1.1 仿冒微信页面,包装自己为聊天软件
该应用仿冒微信页面制作,表面看上去只是一款简单的聊天软件。用户注册账户后会生成一个随机数ID,用户可以通过该ID添加好友进行聊天。
用户输入好友ID添加好友,客户端将好友ID发送至服务器并接收服务器返回的好友账户信息以及头像信息并展示到页面。
该应用只能通过扫描特定的二维码加群才能接触到黄色直播内容,不扫码加入群很难发现此应用涉及****内容,且该二维码只能通过该应用自带的扫码功能扫描才能加入群,用微信扫码无法加入指定群,具有极高的隐蔽性,屏蔽有效的犯罪侦查手段。
扫描特定二维码加群,通过该群后台信息,可看出该群发展至了2400多人。
使用微信及相机扫描二维码失败:
通过分析代码发现,该应用拥有自己单独的解码方式,来进行隐蔽传播:
应用扫描二维码后,会检测是否带有“##”开头的数据,”##”后即为群组的名字,即相机扫描二维码出现的“##mWII6O3”代表群组id为mWII6O3。
随即应用连接指定****(http://api.l***o98.com:8585/group/join)查询加入的群组:
应用查询到群组信息后,连接地址(http://app.l***98.com/App/Group/query_group)来确认加入群组:
该APP只是一个隐秘推广****的工具,并不具备直播功能。加入群聊后,群主通过发布****图片诱导用户添加业务员ID办理会员。开通会员后便可登录****观看直播。
该****集成了网络博彩及****直播多种功能,用户充值10元便可观看****直播。
****地址:https://www.1****0.com/
同时网站通过展示用户中奖信息,诱导用户购买网络****:
不仅如此,制作者通过该应用进行网络约嫖,招收代理。代理需掌握一定的****资源,借助****这个平台进行直播获利,平台对代理收益进行抽成。
2. 推广方式2.1 传统推广方式
传统的****软件主要通过网盘、网页、论坛、第三方应用广告插件、恶意软件后台私自下载****软件、发展代理下线进行推广。
相比传统的推广方式通过该应用推广****具有一定的隐秘性,首先通过网络传播吸引用户前往安装下载APP。
传播地址:http://h****9.org/
该APP仿冒“微信”作为推广****的工具,主要是为了避免主流的社交软件对其封堵,同时该软件本身并没有恶意行为,只是为了更好的推广其‘产品’。通过该应用推广****的隐秘性体现在如下方面:
(1)该应用表面只是一个普通的聊天工具。
(2)用户不扫描特定二维码无法进入****直播群,无法接触到****内容。
(3)业务员通过该应用可以很方便的管理用户以及发布网络招嫖消息,业务员与用户的聊天内容可以涉及到敏感信息不受拘束。
3. 获利方式
根据测试发现此直播软件的盈利模式很清晰主要有主播分成,会员付费、网络约嫖等都需要充值购买或者线下联系,其中****还嵌入了网络博彩功能,通过****内容或中奖清单可引诱用户进行网络****博从而获取一定的收益。
(1)主播借助平台进行****直播,平台收取一定平台费用:
(2)用户想要观看****直播,需办理会员付费:
(3)通过该平台发布公告进行网络约嫖获利:
5. 溯源关系逻辑图
本文主要从应用服务器地址、下载地址、传播地址、支付方式、社交账号等方面进行追踪溯源。
6. 基于情报线索挖掘系统拓展6.1 服务器地址溯源
由于国内非法网站的服务器基本都搭建在境外,且做了较强隐秘性保护,通过对以下服务器地址、下载地址、传播地址进行溯源分析未查找到实际有效信息。
服务器地址列表:
| URL地址 | 描述 | IP地址 | 地点 |
| http://api.l***98.com | 服务器地址 | 20.194.23.27 | 美国 |
| http://h***9.org/ | 推广地址 | 104.203.170.75 | 美国 |
| https://app5.l***97.com/apk/com.lebao074.appcode1-v1.3.0-12.apk | 下载地 | 193.168.4.117 | 卢森堡 |
| https://www.1***0.com/ | **** | 182.16.97.213 | 香港 |
(1)通过抓取应用与服务器交互数据发现其大多数返回的信息中都包含一个URL地址:http://ro8***oud-image.ro***ub.com/,应用中用户所有的头像以及****图片信息都是从该地址获取的。
从该服务器地址获取的****图片:
http://ro***oud-image.ro***ub.com/
查询该域名的备案信息,自动过滤到二级域名后:ro***ub.com。得到网站注册商“北京***信网络科技有限公司”,
该公司是一家即时通讯云服务提供商,该应用中嵌入了该公司的第三方SDK(ro***ub)以实现即时通信功能,但该公司对通信内容审查不严格。
电话:010-57***199
邮箱:gy@ultra***erfund.com
官网:www.ro***ab.com
地址:北京市大兴区经济开发区科苑路*号*号楼*层****室
(2)其中在添加主播助理ID的过程中,通过抓包分析发现服务器返回信息包含该主播助理注册使用的手机号码1356***6666,该号码仍在使用中,且地址显示为四川泸州。
****内集成了丰富的支付方式,但是目前只支持****、支付宝、微信付款,后续支付方式仍在开发中。
6.2.1 ****、微信支付
虽然网站内集成了较为丰富的****支付方式,但实际有效****信息只包含如****列表所示的三张****。
该网站实际并未开通****、微信转账功能,但用户可通过微信****以及支付宝****进行转账。
****列表:
| ****号 | **** | 收款人 | 开户行名称 |
| 621225170400017**** | 工商**** | 陈*利 | ***平原支行营业室 |
| 622180498000138**** | 邮政储蓄 | 宋*明 | **县古固寨镇营业所 |
| 623170019005307**** | 青岛**** | 于* | 青岛 |
6.2.2 支付宝支付
支付宝支付可根据支付的不同额度选择不同支付账号。
小笔金额:
支付宝收款账号:159***17660
收款人:王*龙
大笔金额:
支付宝账户:gd***2@163.com
收款人:永安市**街何*怡百货店(何*怡)
在与客服聊天的过程中,获取了其中一位客服的qq账号:166***1688。QQ空间未获取任何有效信息,账号信息页显示该人现居台湾彭化县。
7. 总结
非法****推广应用采用了单独的解码加群功能、具有极高隐蔽性、屏蔽有效的犯罪侦查手段特点,是一种新型传播****方式。该软件通过会员付费观看直播来发展规模,且规模巨大,非法传播****视频,属于违法犯罪行为。因****应用利用****直播牟取暴利的快速与隐蔽性,传播方式每时每刻都在变化,且此类软件尚属首次发现,我们应加大监测力度,争取有效阻止此类软件的传播途径,阻止违法犯罪行为的发生。
为进一步打击****直播应用的传播,也为维护文明和谐的网络环境,我们建议对此软件中涉及到的域名一律进行封堵,针对其提取特征并入库,做到一经发现同类应用立即封堵。
8. 防范及处置建议
封禁恶意传播的地址;
封禁应用内使用域名;
加大监察力度,争取做到做到一经发现此类应用立即封堵;
普通用户应该提高网络安全意识,看清楚这些应用的真面目,主动防范;
*博客内容为网友个人发布,仅代表博主个人观点,如有侵权请联系工作人员删除。
发布文章
