有人开发了一款色情版“微信”APP,我们揭开了它背后的秘密
公众号:安全客资讯平台(ID:anquanbobao)
作者:暗影安全实验室
近日,恒安嘉新暗影安全实验室平台监测到一款名为“乐宝”的仿冒应用,安全研究人员第一时间对该应用进行了研究分析,发现该应用表面上是一款与微信具有相似页面的聊天软件,实则是一款推广色情网站的推广软件。用户需通过本应用扫描特定二维码加群进入色情群组才能接触到色情内容,具有极高隐蔽性,屏蔽有效的犯罪侦查手段。内容以色情盈利为主,软件制作者利用该软件推广色情网站,进行网络招聘主播,网络约嫖,通过会员付费发展规模。
本文主要是针对“乐宝”的传播方式、盈利模式、溯源分析、情报挖掘等方面进行披露。以下为整个分析过程的流程图。
图1-1 运行流程图
1.1 仿冒微信页面,包装自己为聊天软件
该应用仿冒微信页面制作,表面看上去只是一款简单的聊天软件。用户注册账户后会生成一个随机数ID,用户可以通过该ID添加好友进行聊天。
图2-1 添加好友、聊天功能
用户输入好友ID添加好友,客户端将好友ID发送至服务器并接收服务器返回的好友账户信息以及头像信息并展示到页面。
图2-2 添加好友数据传输
1.2 特定应用扫描进群,观看色情直播
该应用只能通过扫描特定的二维码加群才能接触到黄色直播内容,不扫码加入群很难发现此应用涉及色情内容,且该二维码只能通过该应用自带的扫码功能扫描才能加入群,用微信扫码无法加入指定群,具有极高的隐蔽性,屏蔽有效的犯罪侦查手段。
扫描特定二维码加群,通过该群后台信息,可看出该群发展至了2400多人。
图2-3 加群二维码、群后台
使用微信及相机扫描二维码失败:
图2-4 微信、相机扫描结果
通过分析代码发现,该应用拥有自己单独的解码方式,来进行隐蔽传播:
应用扫描二维码后,会检测是否带有“##”开头的数据,”##”后即为群组的名字,即相机扫描二维码出现的“##mWII6O3”代表群组id为mWII6O3。
随即应用连接指定网址,查询加入的群组:
http://api.l***o98.com:8585/group/join
图2-6 加群数据传输
应用查询到群组信息后,连接地址,来确认加入群组:
http://app.l***98.com/App/Group/query_group
图2-7 确认加入群组
1.3 充值会员,网站观看色情直播
该APP只是一个隐秘推广色情网站的工具,并不具备直播功能。加入群聊后,群主通过发布色情图片诱导用户添加业务员ID办理会员。开通会员后便可登录色情网站观看直播。
图2-8 聊天记录
该色情网站集成了网络博彩及色情直播多种功能,用户充值10元便可观看色情直播。
色情网站地址:https://www.1****0.com/
同时网站通过展示用户中奖信息,诱导用户购买网络彩票:
图2-10 网络博彩中奖页面
不仅如此,制作者通过该应用进行网络约嫖,招收代理。代理需掌握一定的色情资源,借助色情网站这个平台进行直播获利,平台对代理收益进行抽成。
图2-11 招收代理,网络约嫖
2.1 传统推广方式
传统的色情软件主要通过网盘、网页、论坛、第三方应用广告插件、恶意软件后台私自下载色情软件、发展代理下线进行推广。
图2-12 传统色情软件推广方式
2.2 更新的推广方式
相比传统的推广方式通过该应用推广色情网站具有一定的隐秘性,首先通过网络传播吸引用户前往安装下载APP。
传播地址:http://h****9.org/
图2-13 推广网站
该APP仿冒“微信”作为推广色情网站的工具,主要是为了避免主流的社交软件对其封堵,同时该软件本身并没有恶意行为,只是为了更好的推广其“产品”。通过该应用推广色情网站的隐秘性体现在如下方面:
(1)该应用表面只是一个普通的聊天工具。
(2)用户不扫描特定二维码无法进入色情直播群,无法接触到色情内容。
(3)业务员通过该应用可以很方便的管理用户以及发布网络招嫖消息,业务员与用户的聊天内容可以涉及到敏感信息不受拘束。
图2-14 发布色情内容
根据测试发现此直播软件的盈利模式很清晰主要有主播分成,会员付费、网络约嫖等都需要充值购买或者线下联系,其中色情网站还嵌入了网络博彩功能,通过色情内容或中奖清单可引诱用户进行网络赌博从而获取一定的收益。
图2-15 获利方式
3.1 主播借助平台进行色情直播,平台收取一定平台费用:
图2-16 借助平台直播抽成
3.2 用户想要观看色情直播,需办理会员付费:
图2-17会员付费
3.3 通过该平台发布公告进行网络约嫖获利:
图2-18 发布网络约嫖公告
本文主要从应用服务器地址、下载地址、传播地址、支付方式、社交账号等方面进行追踪溯源。
图3-1 溯源脑图
基于情报线索挖掘系统拓展
5.1 服务器地址溯源
由于国内非法网站的服务器基本都搭建在境外,且做了较强隐秘性保护,通过对以下服务器地址、下载地址、传播地址进行溯源分析未查找到实际有效信息。
服务器地址列表:
(1)通过抓取应用与服务器交互数据发现其大多数返回的信息中都包含一个URL地址:
http://ro8***oud-image.ro***ub.com/
应用中用户所有的头像以及色情图片信息都是从该地址获取的。
图3-2 服务器返回数据
从该服务器地址获取的色情图片:
图3-3 获取色情图片
5.2 支付溯源
5.3 社交账号溯源
---END---
更文不易,点个“在看”支持一下👇