人人都知道天下没有免费的午餐,但当人们真正遇到免费午餐时却难以**心中的诱惑。近期,社交平台出现了一群“水果博主”,主要利用用户爱贪小便宜的心理,通过“推广网店、水果丰收免费赠送”为由吸引用户加入群聊,之后利用人们网络兼职轻松赚钱的心理,以“帮农场APP提高人气和提升网店排名,筹备上架”为由诱导用户下载某款APP、充值做任务,从而一步一步套路用户大量充值金额,最后以各种理由推迟返款、提现对用户实施诈骗。
前两天刷微博的时候发现一群利用微博宣传免费送赠水果的博主,抱着好奇的心态便关注了其中一位博主,并按照他的要求进入了一个群聊,群主在福利一:免费赠送水果的掩饰下引导用户下载一个叫“农场聊吧”APP做任务返佣金。当时意识到了这是个骗局,遂在网上搜了搜,果然不少用户已被骗取了大量金钱。
图1-1 用户被诈骗大量金钱
一、诈骗流程
水果博主通过微博宣传免费赠送水果吸引用户前去咨询、引导用户加入群聊,取得用户信任后在群内推出福利,诱导用户下载APP帮果园做任务,赚取佣金。用户下载APP后在客服的指导下进行操作,刚开始完成一项任务确实能返款提现本金和佣金,但当用户尝到甜头充值的越来越多的时候,对方以各种理由推迟或拒绝返款提现,用户被骗。诈骗流程如下图所示:
图1-2 诈骗实施流程图
二、诈骗套路
2.1微博广告宣传、吸引关注
通过微博宣传免费赠送水果吸引用户关注,并使用户主动与他们联系。
图2-1 微博宣传
2.2加入群聊、诱导下载APP
以“领取人数较多、避免登记出错”为由引导用户加入群聊,统一管理用户。
图2-2 引导用户进入群聊
进群后群主以下三种手段来增强用户的信任度:
要求群员提供收货地址以及联系方式,以做出发货假象。
发送水果图片,将自己包装成真实的水果卖家。
以“线下店铺不好经营,从而转型线上店铺,店铺需要大量人气来提升知名度,所以推出免费赠送水果活动”为由,让群员认为免费赠送水果只是他们的营销手段不至于被骗。
图2-3 取得用户信
获得了群员信任,就可以放长线钓大鱼了,群主开始在群内发放福利:
福利一:免费赠送水果,并给出具体发货时间。
福利二:以“APP即将上架,帮果园提升排名和知名度”为由,引导群员下载APP做任务赚佣金。
提供APP下载链接,诱导用户安装,以下两款应用诈骗APP。
图2-4 诈骗APP图标
其中以“为了防止客户乱点乱提交、领取任务不做导致没人做”为由,让用户做任务首先需要自己充值垫付。
图2-5 诱导用户做任务
群里被安排了不少托,这些人将自己返现成功的截图分享到群里以使群员更加相信事情的真实性,使群员真正相信简单几分钟挂机就可赚取佣金。
图2-6“托”在群里分享提现截图
2.3充值挂机、返款提现
群员按照群主的指导使用App,联系特定账号的客服,并由客服指导用户完成接下来的任务操作。
图2-7 联系客服步骤
做任务流程:注册会员-充值截图-挂机-返款提现。
任务非常简单:领取任务后只需挂机3-4分钟便可返款提现赚取佣金,最低充50返60,其中10元佣金,充的越多返的越多。这样用户在刚开始吃得一些甜头后,在客服引导下会越充越多。当充值到了一定金额,对方会以各种理由拒绝或推迟返款。结果你的金钱全都落入了对方口袋,你再也无法联系到对方。
图2-8 做任务流程
用户注册会员、充值挂机都是在应用中一个**页面完成的,可看出这个诈骗过程与网络**脱不了关系。对方一方面想通过做任务诈骗用户钱财,另一方面诱导用户充值进行网络赌博,然而不管哪方面都是深深的套路。
图2-9 APP中的**应用
三、诈骗APP分析
样本信息:
样本MD5 | 915528bbb74e710c6c9fe5bcac4e03f0 |
---|---|
应用包名 | cn.kkim.nongchangliaoba |
签名信息 | CN=c,OU=c,O=c,L=c,ST=c,C=CN |
主要代码集中在包名为cn.lanhu.im中,文件结构如下图所示。
图2-10 应用文件结构
其中该APP内存在如下恶意代码:获取联系人信息、拍摄照片、从用户设备获取屏幕截图信息、在点击红包过程中进行录音。
(1)应用提供了通讯录好友聊天业务功能,可通过搜索账号添加好友。
图2-11 通讯录功能
App内存在获取联系人信息,目前并实际调用,猜测开发者本想提供从通讯录添加好友的业务功能。但用户注册账号并不需要提供手机号吗,所以未能实现这个功能。
图2-12 获取联系人信息
(2)拍摄照片:
图2-13 拍摄照片
(3)从用户设备获取屏幕截图信息:
图2-14 获取屏幕截图
(4)在点击红包过程中进行录音:
图2-15 录音
(5)除此之外,应用内还接入了**网站,用户充值挂机做任务都是在该**网站页面完成。
图2-16 **页面
近年来**网站、APP盛行,在恒安嘉新App全景态势与案件情报溯源挖掘平台上我们仅通过匹配一些简易的规则就能搜索出上万个**APP。网络**表面上看是网络赌博的一种方式,实质却是一个使用心理战术的诈骗过程。
图2-17 平台挖掘**APP
四、情报信息溯源
情报信息溯源如下图溯源脑图所示:
图2-18 溯源脑图
4.1服务器地址溯源
(一)应用服务器地址:http://182.61.***.190:8848
-
IP地址:182.61.***.190
-
物理地址为:广东省广州市
-
域名最近一次指向时间:2020/06/06
图2-19域名指向
通过IP反查域名得到以下信息:
域名 | |
---|---|
www.c***g.cn | www.xm***oin.com |
www.d***bo.cn | www.cc***ing.net |
www.88***055.com | www.jl***d.net |
(二)应用下载地址溯源:www.88***055.com
其中通过IP反查出来的服务器地址www.88***055.com正是该APP的下载地址,此时APP已由“农场聊吧”变为“盛茂果聊”,只是改了应用名称,代码确实同一套。
图 2-20 APP下载页面
下载地址:www.88***055.com的域名注册信息:
注册者邮箱:19***[email protected]
注册者:liu***ping
图2-21 域名注册信息
通过注册者邮箱邮箱我们找到注册者的qq信息:
昵称:*夫
QQ号:19***38
通过查看他的QQ空间我们得知他的****:
匿名:*子
原名:*福友
身份:惠州****电子商务有限公司创始人
创始人*子,是自媒体人,微商大咖,从事微商行业培训2年,同时也是清华北大的特聘讲师。
图2-22 QQ信息
我们查到惠州****电子商务有限公司企业信息:
官网:www.5**3.cn
公司地址:惠州市江北**一路11号铂金府**大厦*号楼*单元**层**号
该公司成立于2015年4月23日,主要经营电子商务。
图2-23 企业信息
(2)**网站服务器地址:http://62***22.com
IP指向:207.148.***.22,物理地址:香港特别行政区。
通过IP反查查到该**网站另几条路线,这几条路线均未备案。
域名 | IP地址 | 归属地 |
---|---|---|
www.62***33.com | 207.148.***.22 | 香港 |
www.62***25.com | 207.148.***.22 | 香港 |
www.62***33.com | 207.148.***.22 | 香港 |
www.s***863.com | 207.148.***.22 | 香港 |
4.2支付信息溯源
(一)支付宝信息
在和客服聊天的过程中获得了以下支付宝收款码:
收款账户:卤智***菜店。
图2-24 支付宝信息
(二)***信息
获取的***信息如下:其中有些***信息被打码。
***号 | 所属银行 | 收款人 |
---|---|---|
6232512390****396 | 建设银行 | 青岛梦****工程有限公司 |
6232236520000****568 | 工商银行 | *一帆 |
图2-25 ***信息
从暗影安全实验室前不久发布的“黑灰产的廉价“温床”—跑分平台”报告我们可以了解到,他们提供的***、支付二维码信息可能并不是他们自己的信息,而是通过跑分平台得来的普通用户信息。
4.3客服溯源
(一)APP客服
服务器地址:http://shengmaoliaoba.oss-cn-hongkong.aliyuncs.com/。
客服使用的是阿里云提供的云服务器:
图2-26 域名备案信息
(二)**网站客服
服务器地址:https://new-api.meiqia.com/。
应用内接入的**网站使用的是成都美洽网络科技有限公司提供的云客服服务。
图2-27域名备案信息
五、总结
归根结底这是兼职刷单诈骗、**诱导充值诈骗的新变种,诈骗方能一次次成功的秘诀便是他们抓住人们爱贪小便宜、吃点甜头便完全放松了警惕的心理与受害者周旋,一步步取得受害者信任,最后来个一锅端。所以大家要坚信世上真的没有免费午餐、天上也不会掉馅饼,不贪小便宜、时时提高自身警惕性,才不会轻易成为被诈骗的受害者。
来源:freebuf.com 2020-07-02 21:50:40 by: 暗影安全实验室
请登录后发表评论
注册