色情版“微信”背后的秘密

作者：暗影安全實(shí)驗(yàn)室

背景：近日，恒安嘉新暗影安全實(shí)驗(yàn)室平臺(tái)監(jiān)測(cè)到一款名為“樂(lè)寶”的仿冒應(yīng)用，安全研究人員第一時(shí)間對(duì)該應(yīng)用進(jìn)行了研究分析，發(fā)現(xiàn)該應(yīng)用表面上是一款與微信具有相似頁(yè)面的聊天軟件，實(shí)則是一款推廣色情網(wǎng)站的推廣軟件。用戶需通過(guò)本應(yīng)用掃描特定二維碼加群進(jìn)入色情群組才能接觸到色情內(nèi)容，具有極高隱蔽性，屏蔽有效的犯罪偵查手段。內(nèi)容以色情盈利為主，軟件制作者利用該軟件推廣色情網(wǎng)站，進(jìn)行網(wǎng)絡(luò)招聘主播，網(wǎng)絡(luò)約嫖，通過(guò)會(huì)員付費(fèi)發(fā)展規(guī)模。

本文主要是針對(duì)“樂(lè)寶”的傳播方式、盈利模式、溯源分析、情報(bào)挖掘等方面進(jìn)行披露。以下為整個(gè)分析過(guò)程的流程圖。

圖1-1?運(yùn)行流程圖

?

1.?樣本特點(diǎn)

1.1 仿冒微信頁(yè)面，包裝自己為聊天軟件

該應(yīng)用仿冒微信頁(yè)面制作，表面看上去只是一款簡(jiǎn)單的聊天軟件。用戶注冊(cè)賬戶后會(huì)生成一個(gè)隨機(jī)數(shù)ID，用戶可以通過(guò)該ID添加好友進(jìn)行聊天。

圖2-1 添加好友、聊天功能

用戶輸入好友ID添加好友，客戶端將好友ID發(fā)送至服務(wù)器并接收服務(wù)器返回的好友賬戶信息以及頭像信息并展示到頁(yè)面。

圖2-2 添加好友數(shù)據(jù)傳輸

1.2 特定應(yīng)用掃描進(jìn)群，觀看色情直播

該應(yīng)用只能通過(guò)掃描特定的二維碼加群才能接觸到黃色直播內(nèi)容，不掃碼加入群很難發(fā)現(xiàn)此應(yīng)用涉及色情內(nèi)容，且該二維碼只能通過(guò)該應(yīng)用自帶的掃碼功能掃描才能加入群，用微信掃碼無(wú)法加入指定群，具有極高的隱蔽性，屏蔽有效的犯罪偵查手段。

掃描特定二維碼加群，通過(guò)該群后臺(tái)信息，可看出該群發(fā)展至了2400多人。

圖2-3 加群二維碼、群后臺(tái)

使用微信及相機(jī)掃描二維碼失敗：

圖2-4 微信、相機(jī)掃描結(jié)果

通過(guò)分析代碼發(fā)現(xiàn)，該應(yīng)用擁有自己?jiǎn)为?dú)的解碼方式，來(lái)進(jìn)行隱蔽傳播：

圖2-5 代碼解碼方式

應(yīng)用掃描二維碼后，會(huì)檢測(cè)是否帶有“##”開(kāi)頭的數(shù)據(jù)，”##”后即為群組的名字，即相機(jī)掃描二維碼出現(xiàn)的“##mWII6O3”代表群組id為mWII6O3。

隨即應(yīng)用連接指定網(wǎng)址（http://api.l***o98.com:8585/group/join）查詢加入的群組：

圖2-6 加群數(shù)據(jù)傳輸

應(yīng)用查詢到群組信息后，連接地址（http://app.l***98.com/App/Group/query_group）來(lái)確認(rèn)加入群組：

圖2-7 確認(rèn)加入群組

1.3 充值會(huì)員，網(wǎng)站觀看色情直播

該APP只是一個(gè)隱秘推廣色情網(wǎng)站的工具，并不具備直播功能。加入群聊后，群主通過(guò)發(fā)布色情圖片誘導(dǎo)用戶添加業(yè)務(wù)員ID辦理會(huì)員。開(kāi)通會(huì)員后便可登錄色情網(wǎng)站觀看直播。

圖2-8 聊天記錄

該色情網(wǎng)站集成了網(wǎng)絡(luò)博彩及色情直播多種功能，用戶充值10元便可觀看色情直播。

色情網(wǎng)站地址：https://www.1****0.com/

圖2-9 色情網(wǎng)站

同時(shí)網(wǎng)站通過(guò)展示用戶中獎(jiǎng)信息，誘導(dǎo)用戶購(gòu)買(mǎi)網(wǎng)絡(luò)彩票：

圖2-10 網(wǎng)絡(luò)博彩中獎(jiǎng)頁(yè)面

不僅如此，制作者通過(guò)該應(yīng)用進(jìn)行網(wǎng)絡(luò)約嫖，招收代理。代理需掌握一定的色情資源，借助色情網(wǎng)站這個(gè)平臺(tái)進(jìn)行直播獲利，平臺(tái)對(duì)代理收益進(jìn)行抽成。

圖2-11?招收代理，網(wǎng)絡(luò)約嫖

?

2. 推廣方式

2.1?傳統(tǒng)推廣方式

傳統(tǒng)的色情軟件主要通過(guò)網(wǎng)盤(pán)、網(wǎng)頁(yè)、論壇、第三方應(yīng)用廣告插件、惡意軟件后臺(tái)私自下載色情軟件、發(fā)展代理下線進(jìn)行推廣。

圖2-12 傳統(tǒng)色情軟件推廣方式

2.2?更新的推廣方式

相比傳統(tǒng)的推廣方式通過(guò)該應(yīng)用推廣色情網(wǎng)站具有一定的隱秘性，首先通過(guò)網(wǎng)絡(luò)傳播吸引用戶前往安裝下載APP。

傳播地址：http://h****9.org/

圖2-13 推廣網(wǎng)站

該APP仿冒“微信”作為推廣色情網(wǎng)站的工具，主要是為了避免主流的社交軟件對(duì)其封堵，同時(shí)該軟件本身并沒(méi)有惡意行為，只是為了更好的推廣其‘產(chǎn)品’。通過(guò)該應(yīng)用推廣色情網(wǎng)站的隱秘性體現(xiàn)在如下方面：

（1）該應(yīng)用表面只是一個(gè)普通的聊天工具。

（2）用戶不掃描特定二維碼無(wú)法進(jìn)入色情直播群，無(wú)法接觸到色情內(nèi)容。

（3）業(yè)務(wù)員通過(guò)該應(yīng)用可以很方便的管理用戶以及發(fā)布網(wǎng)絡(luò)招嫖消息，業(yè)務(wù)員與用戶的聊天內(nèi)容可以涉及到敏感信息不受拘束。

圖2-14 發(fā)布色情內(nèi)容

?

3. 獲利方式

根據(jù)測(cè)試發(fā)現(xiàn)此直播軟件的盈利模式很清晰主要有主播分成，會(huì)員付費(fèi)、網(wǎng)絡(luò)約嫖等都需要充值購(gòu)買(mǎi)或者線下聯(lián)系，其中色情網(wǎng)站還嵌入了網(wǎng)絡(luò)博彩功能，通過(guò)色情內(nèi)容或中獎(jiǎng)清單可引誘用戶進(jìn)行網(wǎng)絡(luò)賭博從而獲取一定的收益。

圖2-15 獲利方式

（1）主播借助平臺(tái)進(jìn)行色情直播，平臺(tái)收取一定平臺(tái)費(fèi)用：

圖2-16 借助平臺(tái)直播抽成

（2）用戶想要觀看色情直播，需辦理會(huì)員付費(fèi)：

圖2-17會(huì)員付費(fèi)

（3）通過(guò)該平臺(tái)發(fā)布公告進(jìn)行網(wǎng)絡(luò)約嫖獲利：

圖2-18 發(fā)布網(wǎng)絡(luò)約嫖公告

?

5.?溯源關(guān)系邏輯圖

本文主要從應(yīng)用服務(wù)器地址、下載地址、傳播地址、支付方式、社交賬號(hào)等方面進(jìn)行追蹤溯源。

圖3-1 溯源腦圖

?

6.?基于情報(bào)線索挖掘系統(tǒng)拓展

6.1?服務(wù)器地址溯源

由于國(guó)內(nèi)非法網(wǎng)站的服務(wù)器基本都搭建在境外，且做了較強(qiáng)隱秘性保護(hù)，通過(guò)對(duì)以下服務(wù)器地址、下載地址、傳播地址進(jìn)行溯源分析未查找到實(shí)際有效信息。

服務(wù)器地址列表：

（1）通過(guò)抓取應(yīng)用與服務(wù)器交互數(shù)據(jù)發(fā)現(xiàn)其大多數(shù)返回的信息中都包含一個(gè)URL地址：http://ro8***oud-image.ro***ub.com/，應(yīng)用中用戶所有的頭像以及色情圖片信息都是從該地址獲取的。

圖3-2 服務(wù)器返回?cái)?shù)據(jù)

從該服務(wù)器地址獲取的色情圖片：

圖3-3 獲取色情圖片

1. http://ro***oud-image.ro***ub.com/

查詢?cè)撚蛎膫浒感畔ⅲ詣?dòng)過(guò)濾到二級(jí)域名后：ro***ub.com。得到網(wǎng)站注冊(cè)商“北京***信網(wǎng)絡(luò)科技有限公司”，

圖3-4 域名備案信息

該公司是一家即時(shí)通訊云服務(wù)提供商，該應(yīng)用中嵌入了該公司的第三方SDK（ro***ub）以實(shí)現(xiàn)即時(shí)通信功能，但該公司對(duì)通信內(nèi)容審查不嚴(yán)格。

1. 電話：010-57***199

2. 郵箱：gy@ultra***erfund.com

3. 官網(wǎng)：www.ro***ab.com

4. 地址：北京市大興區(qū)經(jīng)濟(jì)開(kāi)發(fā)區(qū)科苑路*號(hào)*號(hào)樓*層****室

圖3-5 企業(yè)信息

（2）其中在添加主播助理ID的過(guò)程中，通過(guò)抓包分析發(fā)現(xiàn)服務(wù)器返回信息包含該主播助理注冊(cè)使用的手機(jī)號(hào)碼1356***6666，該號(hào)碼仍在使用中，且地址顯示為四川瀘州。

圖3-6 服務(wù)器返回手機(jī)號(hào)碼信息

6.2?支付溯源

色情網(wǎng)站內(nèi)集成了豐富的支付方式，但是目前只支持銀行卡、支付寶、微信付款，后續(xù)支付方式仍在開(kāi)發(fā)中。

圖3-7 網(wǎng)站內(nèi)集成的支付方式

6.2.1?銀行卡、微信支付

雖然網(wǎng)站內(nèi)集成了較為豐富的銀行卡支付方式，但實(shí)際有效銀行卡信息只包含如銀行卡列表所示的三張銀行卡。

該網(wǎng)站實(shí)際并未開(kāi)通銀行卡、微信轉(zhuǎn)賬功能，但用戶可通過(guò)微信銀行以及支付寶銀行進(jìn)行轉(zhuǎn)賬。

圖3-8 微信、支付寶銀行卡轉(zhuǎn)賬

銀行卡列表：

6.2.2?支付寶支付

支付寶支付可根據(jù)支付的不同額度選擇不同支付賬號(hào)。

圖3-9 網(wǎng)站內(nèi)集成的支付寶方式

小筆金額：

1. 支付寶收款賬號(hào)：159***17660

2. 收款人：王*龍

圖3-10 小額支付

大筆金額：

1. 支付寶賬戶：gd***[email protected]

2. 收款人：永安市**街何*怡百貨店（何*怡）

圖3-11大額支付

6.3?社交賬號(hào)溯源

在與客服聊天的過(guò)程中，獲取了其中一位客服的qq賬號(hào)：166***1688。QQ空間未獲取任何有效信息，賬號(hào)信息頁(yè)顯示該人現(xiàn)居臺(tái)灣彭化縣。

圖3-12 QQ信息

?

7.?總結(jié)

非法色情推廣應(yīng)用采用了單獨(dú)的解碼加群功能、具有極高隱蔽性、屏蔽有效的犯罪偵查手段特點(diǎn)，是一種新型傳播色情方式。該軟件通過(guò)會(huì)員付費(fèi)觀看直播來(lái)發(fā)展規(guī)模，且規(guī)模巨大，非法傳播色情視頻，屬于違法犯罪行為。因色情應(yīng)用利用色情直播牟取暴利的快速與隱蔽性，傳播方式每時(shí)每刻都在變化，且此類(lèi)軟件尚屬首次發(fā)現(xiàn)，我們應(yīng)加大監(jiān)測(cè)力度，爭(zhēng)取有效阻止此類(lèi)軟件的傳播途徑，阻止違法犯罪行為的發(fā)生。

為進(jìn)一步打擊色情直播應(yīng)用的傳播，也為維護(hù)文明和諧的網(wǎng)絡(luò)環(huán)境，我們建議對(duì)此軟件中涉及到的域名一律進(jìn)行封堵，針對(duì)其提取特征并入庫(kù)，做到一經(jīng)發(fā)現(xiàn)同類(lèi)應(yīng)用立即封堵。

?

8.?防范及處置建議

1. 封禁惡意傳播的地址；

2. 封禁應(yīng)用內(nèi)使用域名；

3. 加大監(jiān)察力度，爭(zhēng)取做到做到一經(jīng)發(fā)現(xiàn)此類(lèi)應(yīng)用立即封堵；

4. 普通用戶應(yīng)該提高網(wǎng)絡(luò)安全意識(shí)，看清楚這些應(yīng)用的真面目，主動(dòng)防范；

---

推薦閱讀：

• 一個(gè)技術(shù)總監(jiān)的忠告：精通那么多技術(shù)，你為何還是受不到重用？
  

• 25 張圖讓你徹底掌握分布式事務(wù)原理
  

• CTO說(shuō)：Service層的接口是不是多此一舉
  

• 胡潤(rùn)富豪榜2020出爐，雷軍身價(jià)是任正非的十倍？
  

喜歡我可以給我設(shè)為星標(biāo)哦

好文章，我“在看”