<progress id="yueoz"><code id="yueoz"><xmp id="yueoz">

      1. 吾愛破解 - LCG - LSG |安卓破解|病毒分析|www.13ee.cn

         找回密碼
         注冊[Register]

        QQ登錄

        只需一步,快速開始

        搜索
        查看: 7653|回復: 112
        上一主題 下一主題

        [轉載] [暗影安全實驗室]“裸聊APP”背后的秘密

            [復制鏈接]
        跳轉到指定樓層
        樓主
        Andy0214 發表于 2020-6-22 13:12 回帖獎勵
        使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
        本帖最后由 Andy0214 于 2020-6-22 13:22 編輯

        前幾日看到吾愛病毒樣本區求助,《有沒有大佬幫我查詢這個APP被勒索了倆千多塊》,特意分析了一下,并在實驗室公眾號發布了相關文章,通過分析該伙伴求助的應用,我們找到了該應用的后臺地址并bp登錄,同時經過溯源找到了另外三個相同的后臺,三個后臺總共被騙用戶小十萬,現在每天還有人上當受騙,希望看到文章的小伙伴能相互轉告,提醒自己身邊的人。
        “裸聊APP”背后的秘密
        1. 概述
        書接上文我被“裸聊APP”詐騙了,近幾天又不斷收到網友的求助,不過明顯網友比之前聰明不少,不是一味的打錢,而是通過網絡尋求幫助。錢雖然沒損失多少,但是自己信息還在詐騙團伙那邊存著,自己心里還是沒底,希望能夠得到幫助。針對這種竊取短信、通訊錄的APP,即使沒有其他惡意行為,我們也要嚴厲打擊,對于用戶來說手機上最隱私的東西莫過于短信和通訊錄,這也是詐騙團伙最想拿到的數據,詐騙團伙可以通過這些數據做人物關聯,方便撰寫詐騙術語,容易取得被詐騙者的信任。

        圖1 裸聊詐騙實施流程
        2. 樣本分析
        2.1樣本基本信息
        APP名稱荔枝
        應用包名com.y1lizhi50050.qrf
        文件MD54A9635D9C2D94968E6795FBF161ADD46
        簽名信息CN=(t1y1*****505050),OU=(y1*****50050@qq.com), O=(11*****50@qq.com), L=(Beijing), ST=(Beijing), C=(zh)
        簽名MD541396268D7B1374B98B494077F1AF567
        下載鏈接https://ww.l*****s.com/ic***9g
        圖標
        2.2代碼行為分析
        該程序啟動后需要用戶輸入授權碼和自己手機號,授權碼一般是邀請用戶裸聊的詐騙團伙人員提供給用戶的,主要是為了檢索對應用戶的信息,手機號同樣也是為了定位是哪一個用戶。程序通過所謂的聊天、誘惑等功能誘導用戶注冊登錄,在用戶注冊后程序會獲取用戶的短信、通訊錄信息上傳到指定服務器,接下來就是詐騙團伙拿到用戶信息以此來詐騙用戶。
        2.2.1APP運行行為
        APP運行后需要用戶輸入授權碼和自己手機號,授權碼一般是邀請用戶裸聊的詐騙團伙人員提供給用戶的,主要是為了檢索對應用戶的信息,手機號同樣也是為了定位是哪一個用戶,用戶輸入信息后,APP一直處于加載狀態。

        圖2 惡意軟件運行界面
        2.2.2獲取通訊錄信息
        用戶輸入授權碼和手機號后,程序后臺私自獲取用戶通訊錄聯系人上傳到指定服務器。
        服務器地址:http://l***.e-***.cn/api.php?service=contacts.create


        圖3 獲取通訊錄信息

        圖4 上傳通訊錄數據包
        2.2.3 獲取短信息
        程序后臺私自獲取用戶短信息上傳到指定服務器。
        服務器地址:http://l***.e-***.cn/api.php?service=sms.import。


        圖5 獲取短信息
        2.2.4其他用戶信息
        在分析該程序時安全人員還發現該程序是通過某平臺直接打包的應用,并發現該程序嵌入了平臺的SDK,該SDK存在私自上傳用戶手機號、應用程序列表以及大量固件信息等到平臺服務器。嵌入平臺SDK程序框架:
        圖6 嵌入平臺SDK程序框架
        該平臺打包的應用啟動后直接會啟動子包相關組件:直接啟動SDK相關組件:

        圖7 啟動平臺SDK相關組件拼接固件信息上傳:

        圖8 拼接固件信息上傳

        圖9 上傳啟動報告數據包
        具體上傳用戶信息的服務器地址:

        圖10 上傳用戶信息的服務器地址
        上傳啟動報告后,會繼續上傳用戶手機號、IP地址、MAC地址、固件信息以及應用程序列表:拼接用戶信息:

        圖11 拼接用戶信息上傳用戶信息到指定服務器:

        圖12 上傳用戶信息到指定服務器

        圖13 上傳用戶信息數據包
        在全景態勢感知平臺配置該平臺打包應用特征,發現有三萬多款應用,可見該平臺使用者較多,獲取信息不計其數。

        圖14 全景態勢感知平臺關聯分析
        3.情報挖掘溯源

        圖15 溯源信息腦圖
        基于該程序上傳用戶信息服務器地址:http://l***.e-***.cn/api.php進行情報線索的擴展,通過域名whois查詢,可以發現該域名聯系人相關信息:
        聯系人:溫**
        郵箱:21*****28@qq.com

        圖16 域名whois查詢
        郵箱反查:

        圖17 郵箱反查
        查詢以上域名的子域名,其中ce****89.cn下的q***.c****89.cn存在一個后臺服務器地址:
        http://q***.c****89.cn/admin/login.html

        圖18 c****89.cn子域名
        通過查詢l***.e-***.cn域名對應IP地址,得到另外兩個相關聯的域名:c.li******ve.cc、6**.a******ec.com,
        域名對應都存在一個后臺服務器:http://c.li******ve.cc/admin/login.html
        http://a******ec.com/admin/login.html

        圖19 IP地址關聯域名
        安全人員發現四個后臺地址的主要功能完全一致,主要儲存獲取的用戶信息:

        圖20 后臺服務器
        通過溯源新發現的服務器后臺,具有群發視頻的功能,可以通過授權碼找到對應的受害者,之后群發短信。[color=rgb(29, 173, 167) !important]

        圖21 后臺服務器群發短信
        總結
        詐騙團伙使用的詐騙手段不斷升級,從利用仿冒應用進行電信詐騙,到利用木馬程序盜取用戶通訊錄信息,同時配合裸聊進行敲詐無不與金錢息息相關。用戶應在提升自身防護意識的同時做好自身,不輕信他人,堅決抵制不良誘惑。讓網絡詐騙從無孔不入到無孔可入。同時開發者應該嚴把開發關卡,保證自己開發的應用不存在超采風險,不要隨意嵌入未知的SDK,即使使用也希望能在用戶隱私協議中申明相關SDK具體用途以及要獲取的用戶信息,讓用戶心里有數。

        免費評分

        參與人數 60吾愛幣 +56 熱心值 +56 收起 理由
        青山遮不住 + 1 + 1 謝謝@Thanks!
        empereur + 1 + 1 用心討論,共獲提升!
        依舊沉沉 + 1 + 1 最后一句話進行了升華
        柯小南 + 1 + 1 我很贊同!
        da7363111 + 1 + 1 謝謝@Thanks!
        abcd16610 + 1 + 1 我很贊同!
        xzxi888 + 1 謝謝@Thanks!
        wyz158690 + 1 謝謝@Thanks!
        shamelex + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        瞬光亮 + 1 + 1 我很贊同!
        kercotub + 1 + 1 用心討論,共獲提升!
        craftywolf + 1 + 1 我很贊同!
        Pandain7 + 1 + 1 熱心回復!
        backin886 + 1 + 1 我很贊同!
        xuhh + 1 用心討論,共獲提升!
        lookerJ + 1 + 1 熱心回復!
        lyslxx + 1 + 1 我很贊同!
        驕陽. + 1 + 1 謝謝@Thanks!
        菜雞配小白 + 1 謝謝@Thanks!
        Beys52 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        MIC生命互聯網 + 1 + 1 感謝您的寶貴建議,我們會努力爭取做得更好!
        蝸巨 + 1 謝謝@Thanks!
        jk346591653 + 1 + 1 親身體會過,不過用的是手機的隱私空間里面沒聯系人,不知道有沒有事
        Undefine + 1 + 1 用心討論,共獲提升!
        九天、 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        cpckly + 1 + 1 說的很詳細,奧利給
        2020一味 + 1 + 1 欲望啊
        iteamo + 2 + 1 熱心回復!
        lwy001 + 1 + 1 我很贊同!
        黃sir + 1 熱心回復!
        885 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        拉瑪西亞 + 1 + 1 謝謝@Thanks!
        zhuzhuxia111 + 1 + 1 我很贊同!
        durongze + 1 我很贊同!
        kkpljat + 1 + 1 謝謝@Thanks!
        梧桐月牙 + 1 + 1 用心討論,共獲提升!
        52大懶漢 + 1 + 1 謝謝@Thanks!
        ljx588 + 1 + 1 我很贊同!
        情系吾愛 + 1 + 1 熱心回復!
        s0nRise + 1 + 1 用心討論,共獲提升!
        狻猊帝 + 1 + 1 我很贊同!
        shen12wang + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        jimmyhyh + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        pwp + 2 + 1 請問,群發短信接口能透露出來用一下不
        向日葵cx + 1 + 1 我很贊同!
        空白. + 1 + 1 用心討論,共獲提升!
        poppier + 1 + 1 我很贊同!
        清風徐易來 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        大肉餅 + 1 + 1 太強了,謝謝大佬
        kiikjj + 1 + 1 我很贊同!
        wlq127 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        dragonv + 1 我很贊同!
        烈焰伯爵 + 1 + 1 用心討論,共獲提升!
        蔥油拌面 + 1 + 1 用心討論,共獲提升!
        fllc + 2 + 1 比JC厲害多了
        無名呵 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        perfectjay + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        傳說中的yang哥 + 1 + 1 熱心回復!
        litf + 1 + 1 我很贊同!
        52HLW + 1 + 1 用心討論,共獲提升!

        查看全部評分

        本帖被以下淘專輯推薦:

        發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

        推薦
        斯文小子 發表于 2020-6-23 00:20
        我也差點中招了。和我聊騷的時候我就覺得天上不會掉餡餅。但是我就想看看她怎么騙我,聊著聊著,我差點失去理智。她一直催我要裸照,我發了別人的,在她以為要得逞的時候我無情地揭穿了她的陰毛
        推薦
        perfectjay 發表于 2020-6-22 13:32
        推薦
        那小子 發表于 2020-6-24 11:16
        這種套路很深的,最好用個備用機  不插手機卡  通訊錄存110 120 119號碼
        推薦
        情系吾愛 發表于 2020-6-22 14:04
        注冊就能獲取短信了么?那經常安裝看片軟件該怎么防護呢
        推薦
        HHAK003 發表于 2020-6-22 13:25
        Andy0214 發表于 2020-6-22 13:24
        主要是有“小妹妹”或者“小姐姐”誘惑

        有些里面 也有  “小哥哥”的喲
        7#
        fengxs420 發表于 2020-6-22 13:21
        牛皮就兩個字,我只說一次
        8#
        gms 發表于 2020-6-22 13:23
        寫的很好
        9#
        愚無盡 發表于 2020-6-22 13:23
        這種都會相信的人 我也不知道說什么
        10#
        HHAK003 發表于 2020-6-22 13:23
        所以APP還是要在正規應用市場下載!
        11#
         樓主| Andy0214 發表于 2020-6-22 13:24 |樓主
        HHAK003 發表于 2020-6-22 13:23
        所以APP還是要在正規應用市場下載!

        主要是有“小妹妹”或者“小姐姐”誘惑
        12#
        hby 發表于 2020-6-22 13:26
        太可怕了
        13#
         樓主| Andy0214 發表于 2020-6-22 13:26 |樓主
        HHAK003 發表于 2020-6-22 13:25
        有些里面 也有  “小哥哥”的喲

        “”里面就是,^_^
        14#
        2321490 發表于 2020-6-22 13:27
        感謝樓主分析揭發!
        您需要登錄后才可以回帖 登錄 | 注冊[Register]

        本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

        快速回復 收藏帖子 返回列表 搜索

        RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

        GMT+8, 2020-6-28 20:30

        Powered by Discuz!

        Copyright © 2001-2020, Tencent Cloud.

        快速回復 返回頂部 返回列表
        快三开奖结果