01
总体概述
近期,你是否收到来自境外号码以+00、+85开头的短信呢?短信中包含短链接。根据短信内容,肯定是一款色情诈骗软件。经过分析发现,该软件是一款名Niki的小众聊天类软件,采用聊天框架模板开发,运行过程中,利用色情视频为诱饵,线上通过客服、游客群,共享群等方式,传播不良视频,引诱用户充值会员,加入VIP群,进行同城约*服务,然后,线下进行更大金额的消费。软件中包含色情不良视频模块,多个线路入口,采用更换域名/IP的方式,防止被监管部门封堵。软件中还包含非法赌博模块,需通过邀请码注册、登录,软件服务器主要位于日本东京亚马逊云数据中心。
这类以聊天框架样本,近期非常多,多以网络色情+非法赌博为主,该软件属于“H-裸聊敲诈勒索-67620”家族,家族内涉及应用数量5687个,本文就选取其中一条短信,分析研究,从基本运行原理、典型技术分析、关联溯源分析、封堵处置建议等多个方面,全面阐述该类样本的运作模式,防阻断的惯用伎俩,以免网民上当受骗,经济受到损失,也为监管部门治理提供一定的参考思路。
02
应用详情
应用名称
NiKi
应用MD5
382221c414195bb886eacc593824aeb5
应用版本
2.7.0
应用签名
CN=toJo0a1fPcq4sw,OU=tHT.ivODfP,O=b0ObFW.sWSg,L=kCNTp,ST=sfmh,C=kI
应用图标
03
基本运行原理
3.1 传播过程
不法分子利用境外短信的方式,群发传播带有短链接内容的短信,短信内容中包含不良信息内容,引诱用户下载。
传播过程流程图:
(1)用户访问短连接,轮播不良图片,并弹窗让下载APP
短链接:https://www.***.co/
(2)当点击下载,会跳转到长链接下载页面,让扫描二维码下载
长链接:https://6s29r.***.com/e8nag
https://jhvuy76.***.com/uk0rm
(3)二维码会根据设备不同的系统,下载对应格式的应用,从JS源代码可知,支持安卓,苹果,PC三种平台。
- 3.2 运作模式
该应用运行后,会让用户先注册,再登录,注册相对比较简单,没有什么限制,可以任意注册,即可登录。登录后该软件类似于微信界面,客服会主动联系你,并邀请你加入游客群、资源共享群,群里发布各种不良视频,引诱用户充值成为会员,加入到VIP群,同时,该应用还涉及非法赌博业务。
运作模式流程图:
(1)运行界面
(2)引诱用户充值入会员,进行其他消费
04
典型技术分析
4.1 传播页面地址多变
根据3.1章节可知,该应用下载页面的地址是由短链接,从服务器生成的长链接,因此仅阻断下载页面或者下载地址域名,并无法有效阻断该应用。
- 4.2 服务器地址多变
该应用服务器地址经过多级映射转换,导致服务器的域名及IP地址不断变化,给阻断工作带来极大的挑战。应用设置了多个不同域名线路,用户访问不同的线路,将访问不同的域名,多个域名CNAME到相同的域名别名,解析出不同的服务器IP地址。
- 4.3 HTTPS/TCP协议
该软件传播地址采用HTTPS协议,服务器通联采用DNS解析,域名映射,然后通过TCP协议通信,若只监测HTTP协议的流量是无法有效阻断的。
通过网络抓包分析,发现这类软件常常嵌入阿里云盾SDK,利用阿里云盾隐藏真实的服务器。
05
关联溯源分析
该应用属于“H-裸聊敲诈勒索-67620”家族,家族内涉及应用5687个,其中,涉及3804个不同包名、涉及4874个不同签名。
- 5.1 家族关联分析
下面将从包名、签名、应用名称3个维度进行关联分析。
(1)应用包名TOP5
“H-裸聊敲诈勒索-67620”家族,包含3804个不同包名,其中,im.gygfhqkxhy.messenger数量最多,涉及APP数量679个。
(2)应用签名TOP5
“H-裸聊敲诈勒索-67620”家族,包含4874个不同签名,其中,签名MD5为e89b158e4bcf*数量最多,涉及APP数量253个。
(3)应用名称TOP5
“H-裸聊敲诈勒索-67620”家族,包含338个不同名称,其中,名称为Qshm的数量最多,涉及APP数量704个。
5.2 IP溯源分析
根据4.2章节,抓包分析出5个IP地址,都归属于日本东京亚马逊云数据中心,可知提供不良视频服务器位于日本。根据5个IP地址溯源出250个域名,去重后145个,说明一个IP绑定了多个域名,同时一个域名也绑定了多个IP。
从域名注册商的角度分析,发现28.57%是在境内注册,71.43%是在境外注册,其中,新加坡注册商Gname.com Pte. Ltd.最多。
从域名注册时间的有效期分析,有效期为1年时间,从创建时间看,主要集中在2023年3月份,都是新注册的域名。
06
监测处置建议
从监测的角度来看,这类应用采用HTPS协议传播,让用户扫描二维码的形式下载,需要加强HTTPS协议的流量监测,及二维码下载地址的爬取,同时,还要对分发平台进行监管,加强分发应用对传播应用的审核。
从处置的角度来看,该应用使用了短链接跳转、传播页面地址多变、通联地址域名和IP多变,仅仅阻断单次访问的通联地址,并无法有效地阻断该应用。需要阻断短信中的短连接域名,下载页面的长连接域名,通联地址中的DNS域名,域名别名,IP地址,以及IP绑定的其他恶意域名,甚至处置同家族通联域名等,从应用全生命周期多个维度封堵处置,才能及时、有效的阻断。
建议阻断的通联信息:
封堵内容说明
封堵规则特征
阻断传播地址短连接,长连接域名,下载页面域名
www.***.co
6s29r.***.com
jhvuy76.***.com
阻断通联域名,及DNS解析域名,IP
Niki.gz.***.com
dcfs***.com
kds***.com
jfkd***.com
rdi***.com
mjkf***.com
cfe***.com
ldyt***.com
jfmv***.com
axzl***.com
3.*.*.58
35. *.*.145
52. *.*.230
54. *.*.217
13. *.*.153
阻断IP绑定的其他恶意域名
duiy***.xyz
qsm***.com
asd***.com
vmf***.com
qert***.xyz
icxf***.com
同家族关联样本通联地址域名,IP
huanhu**.com
imch**.im
07
总结
综上所述,该类软件采用聊天框架模板开发,极大缩短了开发时间,通过境外批量注册域名,不断更换域名、软件包名、界面、名称的方式,防止被阻断。该类样本常常通过境外号码群发短信钓鱼,利用分发平台传播下载,然后,通过客服私聊,建群群聊,线上传播不良视频,引诱用户充值、入会,线下进行非法活动,软件内部还会嵌入非法赌博模块,诱骗用户参与非法赌博等,影响范围极大。
*文章来源于暗影安全实验室 ,作者恒安嘉新
微铂在此提醒广大用户,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。
1. 谨慎打开未知短信的下载链接。
2. 避免点击网页中的链接或下载附件。
3. 仅从受信任的来源下载应用程序,建议去正规的应用市场或官方下载。
4. 警惕各种借贷软件的套路,不要轻易使用借贷类、刷单类等APP。返回搜狐,查看更多
责任编辑: