图1-1“跑分”平台黑产分析
背景:上一篇“”发布以后,好多网友私信反映,依据大量留言内容,主要包含两个方面,一方面是她们自己的支付宝收款码、银行卡号被盗窃结伙借助了,另外一方面是自己受骗了,看有没有哪些办法追回丧失的金钱,这是哪些情况?依据我们往年的经验,这很有可能是盗窃结伙使用第三方平台获取的收款码或建行卡信息来逃避追责,以增加安全风险,或则平台跑路
在恒安嘉新App全景态势与案件情报追溯挖掘平台上,我们发觉一批关于“跑分平台”的应用程序,如图1所示,这类应用程序行为并不复杂,一般是采用网上公开源码或工具,批量一键生成,制做成本低,从年纪的角度界定,这类样本制做、传播趋于年青化。本文主要是针对“跑分平台”的运作模式、黑产追溯、危害等角度进行解析,让你们有一个初步的了解,以免再度上当被骗。
图1-1“跑分”平台的应用程序列表
1.“跑分”平台黑产剖析
所谓“跑分”,是借助正常用户的陌陌、支付宝收款码以及交行卡替他人收款,从中攫取佣金。而“跑分平台”就是专门为“跑分”搭建的一个网站或APP平台。通过搭建平台网站,以类似网约车“抢单”的模式进行运作。
主流的“跑分”有陌陌跑分、支付宝跑分、银行卡跑分,近来看见好多平台又推出了“拼多多”跑分平台。
图1-2跑分平台运作模式
1.1“跑分”平台推广形式
网赚兼职是“跑分”的主要推广形式,我们在某网站上找到了大量“跑分”兼职项目正规接单赚佣金的平台,因为招募者声称来钱快、回报高,不少年青人非常是在校学院生参与其中。而疫情期间大多数人无收入来源,网上兼职对于她们来说便是刚需。
图1-3招收兼职推广
为了获取大量的陌陌、支付宝二维码,拓展业务,“跑分平台”发展庞大的代理团队。她们的自诩是“码商”,大部份码商最开始都是自己玩跑分,后来才开始发展下线。她们去各种兼职群里发广告,在峰会发贴,以陌陌、支付宝流水限额、帮助有须要的店家、平台代收款等旗号欺骗用户参与。
图1-4某跑分官网招收代理
在与发布兼职消息的代理取得联系后,她们会要求用户下载一款应用。该应用便是她们拿来发布订单、接收订单、交易的“跑分平台”。
图1-5与代理聊天记录
通过各个社交帐号发送“跑分”APP:
图1-6下发“跑分”APP
在此过程中我们还了解到这种兼职平台发布信息的帐户信息也是租借的:
图1-7聊天记录信息
1.2“跑分”平台黑产运作流程
深入了解以后,我们了解了“跑分平台”运作的流程大体如下:
图1-8“跑分平台”运作流程图
(1)早已从事“跑分”的用户须要拉下级,发展下线;
(2)租借正常用户帐户发布兼职信息;
(3)须要兼职的用户找到发布兼职的的平台,找到相关兼职;
(4)发布兼职的用户让兼职人员添加自己的某甲社交帐户,并发送“跑分平台”信息;
(5)兼职用户下载“跑分平台”APP,并注册登入、完善信息,包括了绑定交行卡、上传收款码、交押金等;
(6)黑灰产团队在“跑分平台”放单;
(7)兼职用户在“跑分平台”接单;
(8)黑灰产团队将从“跑分平台”获取的对应用户的收款码、银行卡号发给被盗窃的用户;
(9)被盗窃的用户将钱转给兼职用户;
(10)"跑分平台"将兼职用户的押金转给黑灰产团队帐户。
至此,一个完成的跑分流程完成正规接单赚佣金的平台,黑灰产团队盗窃得来的钱彻底洗白,整个过程涉及到不知情用户较多,追溯过程极难。
2.“跑分平台”APP剖析
我们在追踪那些代理用户时,也在网上搜索了“跑分平台”相关资料,发觉大部份的“跑分平台”都是网上公开的源码通过代码打包平台一键生成的,成本极低,可以同时生成顾客端、IOS顾客端以及网页版,可以适应不同的用户群体。
网上的源码售卖以及公开的源码:
图2-1个人、公司公开售卖源码
我们详尽剖析了其中一款APP:
2.1样本概况
样本名称:开心赚
MD5:
包名:io..
证书MD5:
打包时间:2020年05月08日16时03分26秒
图2-2程序安装图标
2.1样本行为剖析
这款应用是通过某平台打包而成,该平台是一个Web应用程序(可以通过Web访问的应用程序)云打包平台,我们可通过该平台将网页代码打包成APP。
打包后网页代码主要置于Asset目录下。代码结构如右图所示:
图2-3代码结构
各功能界面以及功能代码:
图2-4代码页面
嵌入的第三方SDK会搜集用户安装的应用列表和App的运行日志。
上传应用程序列表、固件信息:
图2-6上传应用程序列表、固件信息
上传APP运行日志:
图2-7上传APP运行日志
3.“跑分平台”相关追溯
通过追溯我们找到以下信息:
图3-1追溯脑图
3.1作者一
我们在剖析“开心赚”源码时,发觉了疑似源码作者注释信息:
图3-2“开心赚”网页源码
