风险预警！欺诈APP异常活跃，层层包装躲避拦截

安全运维派 2022-06-01

文章来源：安全圈

近期，用户反馈在刷单过程中受骗，通过研究发现，真相远不止传统刷单那么简单。骗子通过聊天软件+虚拟货币平台+双重邀请码的方式搭建诈骗平台，以此作为躲避应用识别策略，再以虚拟货币上市需刷单为噱头骗取受害人的刷单保证金。

通过日常对黑灰产情报监测分析，目前这种搭建方式已渐渐成为诈骗行业用于躲避拦截的主力模式。

案例分析

阶段一：引流

用户通过手机浏览器下载了某兼职APP，在应用内添加了工作人员的微信，随后引导用户下载使用指定的聊天软件，添加指定的接待员账户。

阶段二：接待员发布任务

用户联系该接待员后，被告知此兼职活动是帮助商家推广数字货币交易量，该货币交易所目前需要上市，需要任务员帮忙刷交易数。用户使用邀请码注册交易平台后，收到刷单任务：

用户选择10元任务，并向对方提供的支付宝账户转账10元，按照对方要求在平台中购买BTC/USDT、10元、60秒、升。用户首次获得收益后，对方要求用户先提现，用户提现成功后，其给用户发布第二单任务。

阶段三：套路用户，开始骗取用户资金

骗子给用户发布的任务金额越来越大，且以完成多个刷单任务为由，要求用户继续购买项目，用户发觉受骗。

诈骗手法分析

前期刷单小额佣金返现、后期停止返现，总体还是传统刷单的套路，只不过包装成了为虚拟货币平台刷量。从虚拟货币交易平台的界面看，其本质上是微交易盘/点位盘的翻版，将之前的微交易盘/点位盘多见的外汇商品改成了虚拟货币。但相比传统的刷单诈骗、点位盘诈骗，此次发现的平台隐蔽性更高。

搭建源码的秘密

聊天应用主界面和虚拟货币交易界面调用的网址域名，从去年12月底开始上线，2021年1月中旬出现最高峰，意味着骗子可能利用这个工具进行诈骗的趋势。

通过聊天软件子域名的分布情况看，还存在多种通讯软件，其首页和登录页网址均相同，存在使用同一套源码批量生成聊天软件工具的情况。通过更深度的js代码发现，其使用了国内某SDK搭建接口工具。

通过以上的信息，可以看出其诈骗流程：

1.诈骗团伙利用微交易源码搭建了虚拟货币平台，通过SDK接口工具制作了即时聊天工具，并将虚拟货币平台接入到聊天软件中；

2.通过兼职软件发布广告引流，间接引导用户安装指定的聊天工具；

3.再通过聊天工具里的客服与用户深度沟通，引导受害人在虚拟货币平台刷单，骗取刷单保证金。

为躲避风控使用的策略

第三方的渠道只用于引流，且在接单的过程中，会对访客进行身份校验，要求提供渠道来源截图，以此躲避第三方渠道的风控监管。

诈骗场景聚焦在自建的聊天软件及虚拟货币平台中，聊天软件注册、虚拟货币平台注册均要求使用邀请码注册，在有邀请码的机制下，沙箱很难深入抓取数据，增加了应用沙箱追溯和监测的难度。

安全课堂

网络技术在进步，骗子为躲避平台的监测和拦截，诈骗的手法和技术也越发狡猾，但“防线”再牢固，也还是有破绽，一招识破刷单骗局：

所有让交保证金的兼职

99%都是骗局！

版权申明：内容来源网络，版权归原创者所有。除非无法确认，我们都会标明作者及出处，如有侵权烦请告知，我们会立即删除并表示歉意。祝愿每一位读者生活愉快！谢谢!

推荐阅读

*联合国环境规划署暴露10万条员工记录和超过4000个项目信息