Author Archives: AVLTeam

2017我国移动端传销诈骗类威胁态势分析报告

1 背景概述

  现时一般语境下(包括本报告下文中所指)的“传销”专指我国境内认定为非法的传销行为,包括公认概念的“金字塔式销售”、“层压式推销”及部分形式的“多层次传销”,而在其他国家部分形式合法的“多层次传销”(Multilevel Marketing,MLM)在我国境内及港澳台地区合法的存在形式往往称之为“直销”而非“传销”,在概念上需要作出区分。

  自我国改革开放以来,各种形式的庞氏骗局(Ponzi Scheme)结合诸如Amway(安利)、Herballife(康宝莱)等境外合法品牌及产品的分销体系,在我国快速落地生根,并迅速派生出“传销”这一概念。

  “传销”行为往往具备庞氏骗局(Ponzi Scheme)的特征,事实上属于一种诈骗行为,具体指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格。随着更多人加入,“传销”组织的资金流入必然不足以供给支出,导致其骗局泡沫破灭。这不仅给处于“下线”的大量受害投资者带来往往难以估量的金钱损失,也对维持社会道德风尚、政治经济秩序稳定带来极大负面影响。

  国务院1998年4月发布《关于禁止传销经营活动的通知》,之后于2005年11月颁布《禁止传销条例》,正式以法律形式对传销进行了界定;2009年7月,《刑法修正案(七)》第一次将传销认定为犯罪行为;2010年5月7日,《最高人民检察院、公安部关于公安机关管辖的刑事案件立案追诉标准的规定(二)》发布,也正是在这部规定中,第一次出现了“三级”的表述方式,即“涉嫌组织、领导的传销活动人员在三十人以上且层级在三级以上的,对组织者、领导者,应予立案追诉”。2013年11月14日,最高人民法院、最高人民检察院和公安部联合发布《关于办理组织领导传销活动刑事案件适用法律若干问题的意见》,对传销犯罪行为进一步作了规定,包括对“三级”的界定。

  近年来,随着工商、公安机关等部门履行职责进行有效严厉打击,许多组织明确、参与人数较多的传销组织相继遭到查处,客观上解救了许多深陷传销骗局的受害者;但另一方面,部分顽固对抗的传销诈骗组织也因相关法律出台而迅速转入地下活动,其活动方式、传播模式更为隐蔽,所打的幌子也更为合法化,甚至利用公检法机构定义的“三级分销合法”以乱视听,作为其犯罪活动的合法外衣,加大了发现、打击、查处的难度,多年来给各省市的公共安全及社会长治久安带来了不小的隐患。据“中国反传销协会”及其他国内自发形成的反传销组织数据汇总,直至2017年中,包括但不限于河北、河南、湖北、湖南、天津、安徽、山西、江苏、四川、福建、云南、广西及宁夏等地区仍然属于“传销重灾区”。

图1-1 2017年中国“传销‘灾区’分布图” (数据来源:“中国反传销协会”,省份与严重程度对照详见报告末尾附表,台湾数据暂缺)

  正如上图所示,尤其是进入互联网时代之后,这种“重灾区”的态势更是尤为凸显。随着互联网、电子商务、在线支付等信息技术的飞速发展,传销组织所使用的新式手段也层现迭出。诸如“专挑熟人下手”、“限制人身自由”、“对新入者上课洗脑”、“以昂贵的商品为媒介”等传统“北派”* 传销在现时报告的案例中已不占据主流,而借助互联网,以电脑(PC端)及手机、平板等移动通讯工具(移动端)上的应用程序或专题网站为载体所形成的“互联网传销”则俨然成为当前社会传销的新型模式:组织者和经营者通过互联网,以暴利为诱饵,赋予上线成员直接或者间接发展下线成员的权利,通过发展下线数量计算和给付报酬,达到非法牟利的违法犯罪目的。

  互联网传销相较传统的传销诈骗活动,在危害范围、危害程度方面都更大,但进行任何形式的打击行为也都相较而言更难:一些传销诈骗组织开始以“电子商务”、“网络团购”、“网赚”、“网络直销”、“网络营销”、“网络代理”、“网络加盟”、“虚拟币投资”等名义拉人头发展下线,攫取巨额不法利益的同时,致使大量网民受害者深陷泥潭,遭受大额甚至巨额的经济损失;更有一些团伙精心筹划“擦边球”套路,以正规直销业务备案领取国家商务部颁发的直销许可,一定程度上规避监管的同时也打消了许多参与者的疑心,但实质上则是利用《直销经营许可》从事传销诈骗活动。

2 总体威胁态势分析

  根据通过互联网获取的公开情报以及自主监测搜集的情报进行初步分析,安天移动安全情报分析团队发现,目前(2017年第四季度)仍然有大量涉及传销及相关诈骗活动的团伙以各种形式在我国互联网上活跃,其中,又以移动端应用及专题网站(包含PC端及为移动端优化过的子站点)为甚。

这些类型的应用及网站,往往通过以下几种方式进行传播:

•线上群组推广传播,如QQ群、微信群等。

此种传播方式往往自成一个闭环,如群组可能伪装为“网赚”、“创客”、“兼职”、“报单”等合法的邀请制群组,受害者往往只能通过群组已有成员邀请加入,或是通过支付一定“入群费”加入,继而通过群内推广进入其平台(App或网站等),亦有利用群组本身进行直接传销的行为(多见于微信群,见图2-2)。受害者在单一群组中可能接触到多个与传销诈骗相关的平台,容易使单一用户遭受多次诈骗损失。

•线上平台推广传播,如微博、贴吧、各类专题论坛甚至手游等。

此种传播方式往往本着“广撒网”的思路,通过传统的消息发布配合其具备吸引力的文案,进行其平台(App或网站等)推广;而推广平台也视乎其声称业务不同,可能以各类具备社交或聊天功能的平台作为推广载体。

•线下熟人间推广传播。

此种传播方式更类似于传统线下传销,与其不同的是其以互联网平台(App或网站等)为传播及诈骗业务开展载体。

•线下推广传播,如地铁公交站要求扫码,公共场合小广告贴条等。

此种传播方式一般通过扫码后的应用下载或扫码后进行人工营销达成,其模式与线下熟人推广较为类似,不过多赘述。

图2-1 某实质推广无限裂变套现工具的“网赚”QQ群状况截图

图2-2 某微信传销群组状况截图

  为了更好地了解传销诈骗类事件对于我国国内移动端用户的影响面及影响程度,基于近期安天移动安全云端安全引擎监测及全网大数据收集的结果,安全情报分析团队从其中建模筛选出了可能与传销诈骗类事件相关的移动端应用30余项,其中近几个月仍然活跃,影响用户数量较多,可能造成较大不良社会、经济影响的十余项,如下表所示。

表2-3 可能与传销诈骗类事件相关的应用列表

  基于安天移动安全云端安全引擎及大数据监测的数据结果,安全情报分析团队将可能与传销诈骗类事件相关的移动端平台(App应用及专题网站等)依据其所声称的名义业务类型进行分类;目前市面上仍然活跃,且与传销诈骗类可能具备关联的移动端平台,主要可分为以下几类:(此处分类与通常区分的类别意义不同,如“支付及理财类”应用包括利用支付工具、理财产品作为传销诈骗行为“幌子”的应用,下同)

•购物及返利类

•复利返佣游戏

•虚拟货币类

•金融互助类

•支付及理财类

•电信业务类

  针对这些可能与传销诈骗类事件相关的App应用(下称相关应用)的分类统计过程中,各类相关应用影响面占比如下图所示:

图2-4 各类相关应用近期影响面占比示意图

  上图是依据2017年9月至12月(12月数据截至中旬)相关监测数据进行的筛选统计结果。不难看出,作为传销诈骗行为承载平台的移动端应用中,影响面占比较大的的主要是支付理财类、购物及返利类以及新兴的复利返佣游戏应用,同时电信业务类、虚拟货币类、金融互助类也具备一定活跃度,但影响相对较小。

图2-5近期各类相关应用活跃走势图(按月)

  上图反映了各类相关应用在2017年9月至12月的活跃用户走势状况,不难得出以下结论:

•以购物及返利为名目的相关应用影响人数逐月走高,应与接近年底各传销组织下线业务需求增加有关;

•支付及理财作为传销诈骗组织常用的名目之一,其相关应用整体影响人数较为平稳,且各月数据来看,也都具备一定的影响面;

•新兴的复利返佣类游戏作为近年来传销诈骗组织所利用的新手法,就监测范围内的相关应用影响人数而言存在逐月下行趋势。但事实上,该类手法涉及的应用一般会构成一种“生态链”,通过平台性的设计持续地“推陈出新”,从其旧应用逐步下线到新应用纳入公众视线及监测范围则往往存在一段时间的延迟,所以不能简单地判断认为这一类相关应用活跃度降低。

图2-6 近期受相关应用影响用户数分省统计(单位:户)

  如上图所示,安天移动安全根据相关应用2017年9月至12月的活跃用户状况进行分省统计,便于对作为传销诈骗承载平台的相关应用在各省的影响状况作出直观了解。

  其中,受影响前五名的省份分别是河南省(103524户)、广东省(98502户)、广西壮族自治区(69351户)、山东省(49755户)以及福建省(48481户);同时,浙江省(42604户,东部沿海)、湖北省(37433户,中部)、云南省(37092户,西南)、黑龙江(26722户,东北)等省份的影响状况也较为可观,需要在下一阶段采取相应措施,以提高对于相关类型传销诈骗活动的发现及打击力度。

3 常见手段及典型案例分析

  以下章节,将针对每一类传销诈骗团伙所声称的名义业务类型,及其实施诈骗的具体模式,依据第2章中的分类选取其中较典型案例,对案例中可能与传销诈骗类事件相关的典型移动端平台(App应用及专题网站等)及其运营团伙进行分析,以供相关行业用户及公众充分了解,从而:

•增强用户风险防范意识,尽可能使公众对常见的互联网传销,尤其是移动端承载的传销诈骗手段具备了解,从而在遭遇类似事件时具备甄别能力,避免上当受骗;

•对传销诈骗团伙进行曝光,避免不法分子继续通过传销行为获利,造成相关诈骗的影响面、受害面进一步在社会上扩大,带来不良的社会影响及金融秩序影响。

3.1 购物及返利类

  这一类指以购物及相应返利作为传销行为“幌子”业务的应用App。其往往借助App承载其传销诈骗行为,声称用户通过App加入会员、缴费后消费,其消费额度能够得到一定比率返还;或通过现金消费送等额积分等形式,诱导消费者通过这些应用注册、消费,从而实施诈骗行为获利。

  其中,目前常见的“购物及返利类”传销诈骗相关App 主要包含以下两种常见的模式:

•收取入门费、发展下线、团队计酬的“消费返利” 借助“消费返利”名义,要求会员及加入者交纳入门费或者变相交纳入门费,靠发展下线及下线实际消费金额带来的的佣金获利。

•不收取入门费、不存在团队计酬但发展下线的“消费返利”

  通过网站购物平台发展联盟商家,注册网站的会员到联盟商家购物后,由商家交纳中介服务费至公司,公司再按照其声称的返还政策向消费者返还。为使之作为一种看似具备说服力的模式吸引受害者,部分公司甚至打出诸如“消费全额返利”的宣传口号。

  这类模式已被大量投机者演变成“投资返利”,背离“消费返利”的本质,大量假消费、真投资的行为出现,致使这种模式完全背离初衷而成为一种混乱且难以管控的“金融游戏”,且这类模式发展速度极快,影响面较广。

  事实上,“购物返利”、“返点”一类的行为在国外已成熟多年,大型电商诸如Amazon、eBay以及不胜枚举的线下大型零售商户都与相当数量的第三方返利运营商具备合作关系;但与上述两种涉及传销诈骗的模式不同,正常的返利及返点(Rewards)行为相当于企业以价格的一定比例进行返还现金促销,本质上不需要任何入门费;而国内外互联网多个销售领域成熟的推荐人制度(Affiliate),其“上线”收益也不可能与实际交易笔数或后续交易额度挂钩,往往仅以推荐新会员注册个数而论,且对用户身份合法性、唯一性以及上线行为是否异常等因素具备明确且严格的判断机制。

图3-1 境外某旅行预订网站的详细推荐人制度条款(仅截取部分)

  从上图中不难看出推荐人制度与传销活动中发展下线获利的区别,即正常运作的推荐人制度对上线推荐获利次数及下线真实身份等诸多方面均有严格限制,确保该制度在运行过程中不会因为人为因素而越界为类似“传销”的行为。

图3-2 各级政府部门多次对此类风险发布警示

  针对这种情况,多地人民政府及相关部门均持续发出对与“购物返利”、“返利”尤其是“全额返本”类模式的预警提示,对各用户群体起到警示作用;而事实上,由于这一类传销活动往往以互联网为主要载体,较为隐蔽而难以根除查处,且其口号往往对一般逐利的用户具备较大吸引力,近年仍涌现出大批遭受购物及返利类传销活动诈骗的用户及案例。

3.1.1 喵掌折扣

3.1.1.1 现象

图3-1-1-1 喵掌折扣官方网站(http://www.51mzzk.com)

  喵掌折扣是由杭州骥腾科技有限公司开发的一款应用平台。其声称自己是会员制的“移动社交电商导购平台”,且已与天猫、淘宝、京东等国内具备较大影响力的电商平台合作,能够实现加入商户的“一键分销,一件代发,全渠道推广”以及平台用户的购物返利,号称“颠覆淘宝客制度”。但以关键词在互联网进行资讯检索,发现有大量用户反映“喵掌折扣”属于具备传销特征及实质行为的平台,其“会员”体系实质上就是传统传销诈骗行为中的上下线架构,上线依靠发展下线,以及下线实际消费金额带来的的佣金获利,其“导购商城”模式只是幌子。

3.1.1.2 作案方式

  喵掌折扣利用用户希望获利的心理,出于大众普遍对“三级营销”合法与否不甚了解的信息不对等,构建了三个等级的用户体系:

•第一等级的无门槛会员“省钱喵”,声称能够通过其平台实现类似淘宝客的合法返佣;

•第二等级的会员“招财喵”需要缴费100元升级,升级后可以进行推广发展下线,从中获取佣金,同时也可以从下线使用优惠券的收益中获取佣金;但这一级别的会员有提现额度限制,仅300元。

•第三等级的会员“富贵喵”声称提现额度不受限制,其他与第二等级的会员相同。

  其通过“入门费”及发展下线,促使下线在平台消费等类似制度实现上线获取佣金、并给“喵掌折扣”运作公司带来利益的目的,本质上属于传销诈骗行为。

图3-1-1-2 喵掌折扣受害用户在互联网发布的宣传文案

3.1.1.3 团伙背景

  喵掌折扣官方网站及各种宣传途径中所声称的公司名为“杭州骥腾科技有限公司”,根据国家企业信用信息公示系统查询,该公司注册于浙江省杭州市西湖区西溪新天地商业中心7幢713室,其法人姓名为王鑫明,另有一名股东名为骆小菲,公司成立于2012年1月5日,曾于2017年3月被杭州市西湖区市场监督管理局列入过经营异常名录。

图3-1-1-3 移动端App中用到的域名信息,已开启隐私保护

  通过对喵掌折扣移动端App进行交互数据包抓取分析,发现其中包含的多个域名与其官网域名51mzzk.com的Whois信息相似,都使用了阿里云注册商的隐私保护功能,无法得知其真实注册人;但其中有一个域名未开启隐私保护功能,如下图所示,其显示注册人确实为王鑫明,而公司为“杭州夺宝电子商务有限公司”,邮箱地址是691388964@qq.com,其注册时间是2016年3月30日。

图3-1-1-4 移动端App中用到的域名信息

  对“杭州夺宝电子商务有限公司”相关信息进行查询,在其变更一栏中发现,王鑫明在2016年11月8日前曾经是该公司股东,经过变更后不在名单内。

图3-1-1-5 杭州夺宝电子商务有限公司企业信息变更记载

  因为这一由王鑫明注册的,归属于“杭州夺宝电子商务有限公司”的域名目前被用于喵掌折扣的移动端App内承载相关业务,且该域名至今并未进行过户、修改信息等处理,故有理由认为“杭州夺宝电子商务有限公司”与“杭州骥腾科技有限公司”可能存在一定联系。

  同时,我们发现“杭州夺宝电子商务有限公司”最近一次的变更事宜记载了其法定代表人由原先的毛忠磊变为董俊楠,而毛忠磊至今仍然是“无锡优畅网络科技有限公司”的总经理与执行董事。通过公开情报对该公司进行查询,同样发现其可能涉及一款“优畅神讯”的网络电话传销骗局。该网络电话软件同样在互联网上遭到大量用户反映无法使用,或是反映属于传销活动。

图3-1-1-6 存在发展下线、分润行为的“优畅神讯”网络电话

图3-1-1-7 “优畅神讯”网络电话佣金提现制度

  如上图所示,“优畅神讯”这一网络电话软件中的会员分润及“低级会员提现限制”制度也与“喵掌折扣”软件相似,其宣传口径中的与三大运营商合作也与“喵掌折扣”所声称的与各大电商平台合作如出一辙。同时,部分“优畅神讯”的推广者如下图3-1-1-8中所示,涉及使用或以一款夺宝客户端作为返点平台。结合毛忠磊在“杭州夺宝电子商务有限公司”担任过职位,以及该公司法人变更的突然性存在不合理之处,根据目前所掌握的线索,我们认为,存在“杭州夺宝电子商务有限公司”、“杭州骥腾科技有限公司”与“无锡优畅网络科技有限公司”具备类似团伙作案的可能性,而王鑫明、毛忠磊、董俊楠等人则可能属于团伙作案的成员。其利用相似的网络新型传销模式,配以不同行业的业务外壳,在多地注册公司并推出相应客户端,进行实质上的传销诈骗活动以获利。

图3-1-1-8 “优畅神讯”推广者截图中的“一元夺宝”字样

3.1.2 红人装

3.1.2.1 现象

图3-1-2-1 红人装官方网站(http://www.hongrenzhuang.com)

  红人装是由深圳信人科技有限公司开发的一款应用平台,其声称自己“是一家以社交为基础、以视频为展示形式的服装购物新零售平台”,能够在各大电商的服装商品购买过程中提供返利。但同样的,互联网上亦有大量用户反映“红人装”属于具备传销特征及实质行为的平台,其中,大部分来源于公开情报的描述类似于“第一让你交钱成会员,第二让你发展下线继续牟利,第三让你骗取你亲人亲戚加入,最后还会让你再交680元店主管理年费”,也有类似于“红人装”受害者的信息反馈,如图3-1-2-2所示。

图3-1-2-2 红人装受害者家人在互联网上的信息反馈

  其“会员”体系及“代理”层级,实质上就是传统传销诈骗行为中的上下线架构,上线依靠发展下线的佣金获利,甚至过程中“坑熟”的行为一如传统传销般广泛存在;同时,其中存在当前各类微商、直销渠道中较为惯用的“价格黑箱”手段,如下图所示所谓“定制微商产品”、“私人定制产品”都属于典型的价格黑箱,为“红人装”运作公司攫取不法利益的手段之一。

图3-1-2-3 红人装运作过程中的典型“价格黑箱”

3.1.2.2 作案方式

  为尽量打消用户疑心,使用户将其传销诈骗业务与合法的“淘宝客”营销返点活动与推荐人制度联系起来,“红人装”也设立了三个会员级别。

•第一等级的“粉丝”:通过其平台免费注册,声称粉丝通过平台在各大电商平台购物即可享受40%的产品利润返佣;分享红人装个人二维码,推荐其他人加入,能够得到新加入者消费利润的20%返佣。

•第二等级的“皇冠代理”:以198元购买平台“私人订制商品”就可成为皇冠代理,声称购物可享受产品利润50%返佣;推荐的用户升级为皇冠代理并购买“私人订制商品”,上线可获得70元返佣。

•第三等级的“红人店(网红店)店主”:单用户零售累计10盒“私人订制商品”,最少拥有10个皇冠代理,每个皇冠代理最少拥有100个粉丝的情况下,缴纳680元/年店铺管理服务维护费,即可申请开启红人店。其声称“红人店店主”购买产品将得到产品利润90%的返佣;同时可以向平台3折批发私人订制商品,58元/盒,5盒起批。

  其通过“入门费”门槛,同时通过设置会员“升级”的下线数量限制,促使各层会员发展下线,为下线灌输其“销售思维”,使得其在平台消费“价格黑箱”商品为上线及公司带来不法利益的同时,也积极地发展其自己的下线,本质上属于传销诈骗行为在互联网时代的“新型变种”。

3.1.2.3 团伙背景

  红人装官方网站及各种宣传途径中所声称的公司名为“深圳市信人科技有限公司”,根据国家企业信用信息公示系统查询,该公司注册于深圳市宝安区新安街道留仙二路万源商务大厦1栋518室,其法人姓名为于一,另有股东张晓文、张井龙与一家名为“深圳市长元海兴科技发展有限公司”的公司。公司成立于2014年3月10日。

  对其法人名下其他关联的公司进行挖掘,发现其还拥有或参与以下几家目前仍处于存续状态的公司:

•深圳市久韵国际贸易有限公司(与张井龙共同参与)

•深圳市木及人本科技有限公司(与张晓文共同参与)

•深圳市留得花科技有限公司(与张晓文共同参与)

•西安红人装网络科技有限公司(与张晓文、张井龙共同参与)

•深圳市不可创意电子商务有限公司

  其中,“西安红人装网络科技有限公司”是红人装App运作过程中为了在西安开设实体店“落地”而注册的企业,注册于2017年1月,早于其实体店开设2个月;“深圳市木及人本科技有限公司”能够直接关联到的域名为http://tlgn365.com,其域名信息已开启隐私保护,但通过历史查询能够关联到 Yi Yu,即前述“深圳市信人科技有限公司”法人,而其他企业则并未挖掘到其明确的,仍存续的实体业务。

图3-1-2-4 tlgn365.com 域名历史信息

  同时,该域名在安天移动安全情报分析团队对红人装App进行数据包抓取分析的过程中,也发现其当前仍然承载着红人装App的业务,而并非与根域名首页一样,仅有自动生成的推广站,故可认为“深圳市木及人本科技有限公司”也可能与红人装相关业务具备一定联系。

  对红人装官方网站hongrenzhuang.com 进行Whois域名信息查询,可发现该域名仍然在“深圳市信人科技有限公司”名下,由阿里云提供域名服务,如下图。

图3-1-2-5 hongrenhuang.com Whois 域名信息

3.1.3 奢瑞小黑裙

3.1.3.1 现象

  相比喵掌折扣与红人装,“奢瑞小黑裙”则是一个更具备触犯“传销”相关法律风险的微商品牌。由于其自上线以来几度改变营销返润模式,类似“下线”的多级代言人推广机制也未具备有力且明确的监督方式,其声称加盟用户不在少数,覆盖城市数量也较多,一旦外部监管效果不佳,较易在发展过程中越界为传销行为,并给社会、经济秩序稳定带来一定负面影响。

  奢瑞小黑裙成立于2015年8月,声称自己只是一家只出售黑色裙子的互联网服装品牌。其采取“DC+O2O+移动互联网+小黑裙文化”的创新分销模式,让利30%给消费者,并采取分化的返利政策与一种使消费者、经营者“即是传播者,也可以是消费者”的模式进行传播推广。

3.1.3.2 作案方式

图3-1-3-1 “奢瑞小黑裙”代言人层级示意图

  其官方客服对其会员制度的介绍是,“当您购买一条399元小黑裙时,您就会成为奢瑞的代言人,拥有专属二维码,通过扫您的二维码或者关注您的店铺链接购买的是您的一级代言人,您将得到10%的奖励;通过您一级代言人购买的是您的二级代言人,您会有10%的奖励”。这一制度虽然被声称为三层营销,但根据公检法《关于办理组织领导传销活动刑事案件适用法律若干问题的意见》中相关条文规定,对于营销层级的认定应该包含“组织者、领导者本人及本层级在内”,也即应该包含“奢瑞小黑裙”公司在内,实际应该为四层营销。从这一角度看,“奢瑞小黑裙”存在与现行有关传销法规相悖的可能。

  值得一提的是,根据商务部,工商总局2016年第7号文《关于直销产品范围的公告》,即使“奢瑞小黑裙”属于合法分销的直销机制,其售卖商品“小黑裙”作为服装类商品,也并不包含在规定合法的6类直销产品中。

  同时,由于其多级分销机制涉及“入门费”、“层级推广”,且其系统较大一部分依托于微信公众平台,曾被微信方面多次要求进行分销模式调整,甚至于2017年初遭到公众平台封号处理,因此才有了第2章中提到的“奢瑞小黑裙”App平台的产生;

  其次,其大比重返佣的多级分销模式,导致每个用户从购买之初的考量即分为“商品本身的实用价值”与“发展下线,返佣牟利”两部分;而发展下线的部分,一般也都会以用户身边的关系圈作为“下线”人头的主要来源,本质上是一种“人情变现”,此类营销模式较易导致人际间信任危机产生。

3.1.3.3 团伙背景

  通过“奢瑞小黑裙”官方宣传材料及互联网公开情报检索得知,“奢瑞小黑裙”创始人为王思明,其个人背景信息在互联网上公开版本如下图:

图3-1-3-2 “奢瑞小黑裙”创始人信息互联网公开版本

  通过浏览其官网http://www.xiaoheiqun.com,我们只留意到该团体声称自己为“SOIREE奢瑞小黑裙”,而并未发现任何正式的公司及注册实体名称。通过对法人王思明名下的公司进行挖掘,我们能够得到其与“奢瑞小黑裙”相关公司的关系,如下图:

图3-1-3-3 “奢瑞小黑裙”相关公司关系示意图

  根据此图,排除为“奢瑞小黑裙”注资的投资机构之后,我们发现,其创始人与以下公司具备关联性:

•北京奢瑞电子商务有限公司

•北京奢瑞小黑裙服饰有限公司

•北京小黑裙国际文化传播有限公司

•北京金九银十投资咨询有限公司

  其中,王思明与列表中前三家公司均具备紧密职务联系,同时另一股东孙淑丽也与其在相应的三家公司占据管理职位。同时,根据奢瑞小黑裙官方网站xiaoheiqun.com的Whois域名信息,我们发现该域名归属于“北京小黑裙国际文化传播有限公司”。

图3-1-3-4 xiaoheiqun.com 域名Whois信息查询截图

  并且,根据对“北京金九银十投资咨询有限公司”的企业信息变更记录进行挖掘,发现早在2014年12月之前,该公司即由王思明、孙淑丽共同管理,其时公司名称为“北京洪科餐饮管理有限公司”,而2014年12月该公司更名后,法人身份虽然转移给吴松,但此公司至今都为王思明独资,故有理由认为,上述四家公司与王思明、孙淑丽二人均存在较大可能的紧密联系,且这四家公司在“奢瑞小黑裙”整体业务运营中也可能起到了较大的作用,其核心应为“北京小黑裙国际文化传播有限公司”。

3.2 复利返佣游戏

  近年来,市面上活跃着大量“复利拆分盘”系统类型的系统定制服务,如下图中所示,有大量的小型软件开发公司提供源码级的相关代码开发服务。

图3-2-1 互联网上活跃的大量“复利拆分盘”源码定制服务

   事实上,这一类系统从原理上而言属于传销诈骗行为的承载平台,故市场上才会有大量对此类应用系统的定制需求。其主要由复利盘系统和拆分盘系统组成:

•复利盘系统主要为用户提供基于虚拟“股权”的交易,用户固定投资一笔资金后,每天可获得持续性的收益,但用户想要获得更多收益就要成为报单中心(类似于传统传销中的“上线”概念,即发展下线),获得更多提成;

•所谓的拆分盘系统,则是在系统中通过售卖“股权”资格给首批参与投资的用户,当有更多的用户参与购买时,“股权”的价格就会上涨,等达到拆分价格或者是其倍数后,就会进行“股权”拆分,而前期的投资者就可以获得增长的收益。如果后期买入需求不足,那么前期的投入收益不会增长,也不会允许提现。

  事实上,这种被称为“复利拆分盘”的骗局即当前热议的“虚拟币”前身,其原理相似,都是首先构造出具备声称价值的“股权”、“股份”或是“某某币”,并通过外部概念热潮及相关推广营销吸引用户投入法币(人民币、美元等具备一般等价物属性的货币),从而积累可观现金池,营造出其“股权”、“股份”或是“某某币”具备实际流通价值或一般等价物属性的假象。

  但这些假象极易由各方面因素导致出现恐慌性的抛盘,继而出现整体崩盘的状况,导致参与者成为最终为骗局“兜底”,而始作俑者(即发行者、庄家)早已将其声称具备价值的“股权”、“股份”或是“某某币”卖空套现,携现金池潜逃。

  宏观看来,整个系统是否可持续,一个重要考量指标就是无论产品或服务输出“是否能够对接实体经济”,如果没有对接实体经济,整个系统无法实现现实社会中价值的输出,则系统中任何“股权”、“股份”或是“某某币”的盘面大小、热度、复利只能靠后来加入者支撑,此类行为,本质上与庞氏骗局没有区别。

  而本类所述的“复利返佣游戏”,则是“复利拆分盘”一类的骗局套上游戏外壳后的一种表现形式。其以类似复利盘、拆分盘的模式构建一款或多款游戏(且往往是热门游戏),并固定人民币与其中“游戏币”或“游戏道具”的兑换比率,建立一种与“复利拆分盘”并无二致的游戏生态,并以类似“玩游戏能赚钱”、“在游戏中理财”等为宣传口号进行推广,吸引受害者上钩;而往往用户达到一定数目,可能随时面临用户增长衰退的高风险时,游戏发行者(也即庄家)往往会携现金池潜逃,并选择在适当时机下线游戏,留下无法兑现的游戏生态与广大的受害者群体。

3.2.1 英伦系列游戏

3.2.1.1 现象

  此章节所指的“英伦系列游戏”,即是市面上诸多具备传销诈骗性质的复利返佣游戏中影响面较大,性质较为恶劣的一系列游戏集合,包括但不限于“皮皮果”、“富丽果”、“英伦斗地主”、“英伦果园”、“英伦果大厦”、“英伦果商城”等,均为一自称为“新玩客网络技术有限公司”的团伙开发。

图3-2-2 该公司在微信公众号的宣传文字

  其声称自己是与英国Pergame(帕加姆)合作的国内知名游戏公司,并打着“让用户在游戏中学习理财”、“走向财富自由”等具备诱惑性的口号,自2016年起开发若干款“英伦”系列游戏,在其中建立复利拆分盘,并在运营一年以后的2017年迅速撤盘(该团伙称之为“圆满结束”,使得数以万计的用户在游戏中“不知不觉”遭受其传销诈骗,不仅未能拿到预期的收益,本金也无法返回。

图3-2-3 “英伦”系列游戏受害者试图使用互联网公开维权

3.2.1.2 作案方式

  正如3.2章节中提到有关“复利返佣游戏”的大体描述,“英伦”系列游戏从最初以“富丽果”应用身份融合早期“农场偷菜”类游戏玩法与“复利拆分盘”的传销诈骗手法,配以对一般用户极具诱惑力的“空手赚大钱”文案,以及“上线”组成的“精英战队(实则是传销诈骗团伙核心营销团队)”进行有力推广,直到2017年初游戏改名为“皮皮果”、“英伦果”,并推出“英伦果商城”、“英伦斗地主”、“英伦果大厦”等基于“英伦果”这一虚拟“股权”或“虚拟币”的系列游戏及应用,其实质上并未有诈骗手法上的变化,均是以其运作团伙创建的虚拟“股权”或“虚拟币”(即系列游戏中的“苹果”)为载体与核心,利用一般用户对“玩游戏赚大钱”、“空手赚大钱”的期许与这一群体对“复利盘”、“拆分盘”的欠缺了解进行传销诈骗行为。

  性质恶劣的是,据互联网公开情报显示,在该团伙以“英伦游戏”行骗得手并卷款撤盘之后一段时间,又改头换面注册了新公司,并发布“梦果成真”游戏,试图创建一个新的复利拆分盘,以其一贯的“游戏中学习理财”口号引导、吸引下一批受害者上钩。

  并且,“梦果成真”游戏及其运作公司“上海梦果成真网络科技有限公司”直至2017年底仍然在我国互联网保持活跃,其恶劣的诈骗行为并未遭到任何形式的打击及查处,在我国互联网及一部分网民群体中造成了极其恶劣的影响。

  根据该团伙开发核心游戏“皮皮果”的玩法说明,注册“皮皮果”会员需要330元人民币,其中30元是“新玩客”公司管理费,而剩余300元则用作购买300个“苹果”(也即游戏中的虚拟“股权”或“虚拟币”)种到果园里。其声称,玩家每天只需要花两三分钟到果园里“施一次肥”,就可以得到1.5%左右的利息,且利息按照复利计算。但同时,为了达到传销诈骗的目的,其作出了以下规定以促进受害用户发展下线,为其通过传销诈骗行为不法获利带来了极大便利。

•推荐的新用户加入要从推荐人的“粮仓”扣除330个“苹果”,系统扣除30个,新玩家得到300个;

•推荐的新用户加入,推荐人得到16个“苹果”;

•系统每天通过报单总数与用户种植“苹果”的总数来进行产出,产出收益算法是:(当日新报单金额合计)/(所有会员果园苹果数)*(您果园的苹果数);

•苹果可以以人民币自由进行交易,出售苹果时,系统扣除10%的手续费。

  其通过“入门费”门槛,同时通过对上线获利的算法上进行规定。促使其上线会员发展下线,投资并买入“苹果”,且从结果上来看,受害者及涉及金额并不在少数,故本质上应属于传销诈骗行为在互联网时代的“新型变种”。

3.2.1.3 团伙背景

  如3.2.1.1 章节所述,该公司自称为“新玩客网络技术有限公司”,其网站域名为www.xinwanke.cn(已无法访问)与pergame.me,同时声称其与所谓的英国Pergame帕加姆游戏公司合作运营整个“英伦”游戏体系。但经国家企业信用信息公示系统查证,并无以“新玩客网络技术有限公司”为实体名称注册的任何形式公司,也即该公司无工商注册信息;其谎称的与英国Pergame公司合作运营也存在夸大、不实等问题,在其宣传渠道的页面中出现过一份《Certificate of Incorporation of A Private Limited Company》(英国私有有限公司法人证明),如下图左侧部分:

图3-2-5 两份《英国私有有限公司法人证明》对比

  但经考证,该证书照片中刻意将证书的颁发时间点进行抹除,该团伙所称的Pergame公司实际在2016年6月21日才在英国威尔士(卡迪夫)注册,晚于该团伙开始开发“英伦”系列游戏的时间节点,但早于该团伙声称与Pergame公司开始合作仅1个月(参见章节3.2.1.1中的时间表)。故我们有理由推测,该团伙所谓的“与英国公司合作”实为自导自演来打消受骗者疑心的伎俩,所提到的Pergame公司成立十分晚,在国际上也无任何知名度,可能只是该团伙在英国以一定资本(最小注册资本为8万英镑,编者按)注册的“皮包公司”。

  根据互联网公开情报搜集信息,许多“英伦”系列游戏的受害者对“英伦”系列游戏背后的主导者情况较为了解,进行了适当的披露,并且至2017年底仍然在尝试借助各种法律手段维权,如下图。

图3-2-6 “英伦”系列游戏受害者团体的“维权建议”,活跃于2017年12月27日

  因该系列游戏推广交流主要通过邀请制的微信群及App,而App及官网均已下线无法使用,微信群也为无法搜集线索的闭环存在,国家企业信息数据库中也不具备相应名称的企业实体,故可通过公开情报进行考证的信息较为缺乏。

  通过对多渠道不同受害者披露的情况进行了解、分析、判别后,安天移动安全情报分析团队认为以下线索较具可信度,可以作为一定程度上的参考:

•“英伦”系列游戏及“梦果成真”公司主导者都为刘镇源,广东揭阳人;

•刘镇源可能是“广西祥发投资集团有限公司”高管,同时曾因为相关经济案件被记入全国法院“失信被执行人”名单;

•“英伦”系列游戏的核心营销团队包括:郭贝贝(河南济源)、王涛(河南洛阳)、党建平(河南洛阳)、王海丽(河南洛阳)、时光辉(河南郑州)、叶静(河南郑州)、陈慧峰(浙江湖州)、张凯(浙江湖州)、杜玉柱(江苏苏州)、曾国莲(四川广元)等。

3.3 虚拟货币类

  当前世界范围公认的虚拟货币,往往指的是“不依靠特定货币机构发行,依据特定算法,通过大量的计算产生,发行总量具备限制,且可能去中心化并无法大量人为制造”的一种“数字货币”。自2009年第一个数字货币概念被提出以来,涌现出的虚拟货币无数,著名的包括比特币、莱特币、以太币等,虽然其不具备完全的一般等价物属性,但因为其“去中心化”、“安全”、“匿名”等声称由技术手段保证的先进属性,也在一些国家和行业被逐渐接受,并拥有与美金、人民币等法币的兑换“汇率”,甚至一度走高。

  但此处传销诈骗行为语境下的“虚拟货币”,则完全不能混为一谈。这种“虚拟货币”,更类似于章节3.2中所述复利拆分盘涉及的“股权”及相关诈骗游戏中的“虚拟道具”。之所以在这种语境下出现“虚拟货币”的概念,主要由于当前市面上可能带来暴利的各种虚拟货币遭到火热炒作,与虚拟货币相关的任意概念都较易使得普通用户失去理性,故各色传销诈骗团伙即将复利拆分盘的“旧诈骗套路”与“虚拟货币”概念进行混淆融合及高端包装,将实质上是毫无价值的“股权”及“虚拟道具”改换成虚拟货币的名头,以精心编纂的文案进行推广,吸引没有辨别能力及风险防范能力的受害用户;也与复利返佣游戏的惯用套路相似,待到现金池具备一定量后,传销诈骗团伙(即庄家)就会撤盘并卷走现金池,使得受害的投资者不仅拿不到许诺的利益,而且血本无归。

  根据安天移动安全情报分析团队总结,虚拟货币类传销诈骗一般具备以下两种特点:

•以虚拟货币作为幌子的复利拆分盘玩法简易,操作傻瓜。从互联网渠道获知的受害者“维权”信息中了解到,此类骗局受骗者中包括大量老年人。

•以“虚拟货币”、挖矿作为卖点。这种混淆概念的操作模式,钻了普通民众对于虚拟货币并不了解的空子,将团伙自己创建的复利拆分盘包装成虚拟货币,诱使更多受害者上当受骗。

3.3.1 莱汇币 (已破案)

图3-3-1 莱汇币传销诈骗受害用户微博截图

  莱汇币即是典型的,伪装为虚拟货币的“复利盘”案例。2016年8月,潜逃的犯罪嫌疑人才雄(齐齐哈尔人)被抓获,此时莱汇币这一涉及传销诈骗的“复利盘”涉案金额已经超过500万元。

  莱汇币“发行”之初,才雄通过各种手段宣传,许诺只要在他的莱汇币项目中投资一万元,此后受害人即可无限期地每日从中提现120元,不足三个月便可回本,此后每天提出的120元都是收益回报;同时,其在宣传文案中这样写道,“获取到自己的推广地址……只要有人认证了,你就可以得到1000个矿工!邀请50个人认证后你就有5万个矿工。需要坚持7个月左右,到时候就可以每天提现了”,以“发展下线带来高回报”诱使用户推荐莱特币下线加入。可事实上,才雄仅仅是将非法集资得来钱款的一部分用于支付前面投资人的利息,很大一部分则保留在现金池中,直到其2016年6月1日关闭网站,卷现金池潜逃。

3.3.2 维卡币 (部分破案)

  维卡币也是近年来“虚拟货币类”传销诈骗的一个典型案例。“维卡币”传销组织系境外向中国境内推广虚拟货币的组织,传销网站及营销模式由保加利亚人鲁娅组织建立,服务器设立在丹麦的哥本哈根境内,对外宣称是继“比特币”之后的第二代加密电子货币。

  下表中,将“维卡币”与公认的世界首个虚拟货币“比特币”进行属性对比,不难发现,其实“维卡币”并不是真实的虚拟货币,而只是传销诈骗过程中所利用的工具:

表3-3-2-1 “维卡币”与“比特币”特性对比

  其同样是利用了大众对“虚拟货币”概念的了解空白,将虚拟货币与复利拆分盘混为一谈:声称“投资36万元,半年就能变成4100万元,而且不需要任何办公条件,只要一台电脑就可以在家中坐等收钱”,要求参加者缴纳一定费用获得加入资格,并按照一定顺序组成层级,以直接或间接发展人员数量作为计酬和返利依据,将上述计酬和返利以分期支付方法进行发放,以高额返利为诱饵,引诱参加者继续发展他人参加而骗取财物。

  在线上,其由国内核心“上线”组织通过微信、贴吧等多个知名线上平台进行渠道推广的同时,也在广东、湖南、辽宁等多省进行大规模的线下“推广”。由于“维卡币”在国内一度造成较大社会、经济秩序的不良影响,且行为明显涉及传销诈骗。2017年广东省“飓风行动”及2017年中湖南长沙的相关专项打击活动中即针对相关国内团伙进行了打击,并收到一定成效(2017年9月,涉案16亿元人民币的湖南“维卡币”传销诈骗案宣判,35人获刑),但由于其核心组织成员及平台服务器均位于境外,进行彻底的打击可能具备一定难度。

图3-3-2-2 完全杜撰的“维卡币”传销诈骗境外团伙创始人介绍

3.3.3 高通币

3.3.3.1 现象

  近几个月,互联网上又出现一种声称基于“区块链技术”的虚拟货币,该传销团伙声称,“高通币”是由数字货币爱好者发起组建的Gotone Coin(高通币)团队研发并运营的一款加密数字货币,“基于全球最受瞩目的区块链技术,将最领先的科技与实体互联网应用相结合:共享CDN模式先驱带宽资源与数字资产完美结合”,但其实质一如章节3.3中所提到的,为复利拆分盘骗局的“互联网化”新变种。

3.3.3.2 作案方式

  “高通币”传销诈骗团伙设计了“高通币”的相关交易平台、体系及“挖矿”规则。其声称,通过平台注册激活“送一台价值1500元矿机”,购买一台1500元的矿机送520个“高通币”,而云端服务器会实现24小时自动挖矿。同时,其具备符合传销特质的推荐人制度:

•直接邀请一名好友加入,用户“矿机”的产能将增加8%;

•好友邀请一名他的好友,用户“矿机”产能将增加3%;

•其好友再邀请一名好友加入,用户“矿机”产能将增加1%。

  从行为上来看,其已经涉嫌违法国务院《禁止传销条例》;而从其该传销诈骗团伙对于该“虚拟货币”的规则设定行文、各类宣传文案及官方网站的编写、制作来看,也都不难发现存在十分粗糙之处,缺乏严肃性的同时也令人对其诈骗团伙伪装的有效性、诈骗行为的受害面产生怀疑,例如:

•下图所示其“后台控制面板”,用了“第1世纪全球矿石包”等显得十分随意的设定表述;

•另一截图中其平台公告,可以发现其行文十分口语化且随意; •官方网站http://cn.gtc.la 使用了通用的建站模板,并未作任何内容修改;

•交易平台http://www.gtc666.com/Home/Index/index.html 则简单伪装为某公司后台,且后台制作简陋。

图3-3-3-1 “高通币”管理后台

图3-3-3-2 行文口语化且随意的“官方公告”

  在其“管理后台”中,还存在“实名认证”机制,需要受害者提供证件照片、身份证号、银行卡号等重要信息,可能造成用户隐私直接泄露,继而导致不明确的金融风险,如下图。

图3-3-3-3 “高通币”后台实名认证涉及隐私二次泄露

3.3.3.3 团伙背景

  针对“高通币”并无明确公司实体存在的状况,安天移动安全情报分析团队从其涉及的域名基础设施入手,试图挖掘其团伙背景。

  其官方域名gtc666.com的Whois域名信息显示,其归属注册人为Huang Xu,注册E-Mail为sorry9696@163.com,如下图。

图3-3-3-4 gtc666.com Whois 域名信息

  在互联网公开情报中挖掘该域名相关信息,发现该域名是在国内某域名交易网站成功交易的“免备案域名”,即已有备案信息的合法域名过期注销后,由域名代理抢注并以“免备案即可使用”名头出售的。该域名的原备案公司即gtc666.com后台标题中伪装的“北京国泰彩信息科技有限公司”,应与该传销组织无关。

图3-3-3-5 国内某域名交易网站gtc666.com的交易记录

  通过同E-Mail地址挖掘,发现Huang Xu还注册了另一域名8gtc.com,该域名显示页面同样只是一个模板经过简单修改为“GTC网络”。

  对其后台(即交易平台)登陆界面进行代码查看,发现该团伙号称“停止注册”仅仅是在页面中使用了 将注册链接屏蔽,显得技术较为薄弱。

图3-3-3-6 “高通币”后台的停止注册屏蔽方法

  从其报错信息也可以发现,该团伙声称具备诸多功能,涉及矿机、云计算、带宽分配等多项庞大底层功能的系统只是基于ThinkPHP与虚拟主机构建的,属于彻头彻尾的骗局。

图3-3-3-7 “高通币”后台错误信息

  通过“高通币”首页下方的ICP备案号“豫ICP备14004807号”进行相关信息查询,可发现8gtc.com的备案网站名称与8gtc.com首页标题相同,而8gtc.com也为“高通币”传销诈骗团伙实际控制,备案人姓名为易晓梅(河南省),应为经过权威部门校验的真实信息,应为“高通币”传销诈骗团伙的重要成员之一。

图3-3-3-8 8gtc.com工信部备案信息

3.4 金融互助类

  这种模式与3.2中所提及的复利拆分盘具备一定相似度,实质上仍然是以“资金池”开设复利盘,但一般“金融互助”的传销诈骗组织声称,其行为是通过为他人提供资金帮助而获得回报,通过“慈善帮助”的概念,能够使获得收益的用户不断的为某一“互助”资金池投资,保证互助系统正常运转,且兑现收益后可使用利息复投或者本息一起复投。但这种行为本质上与早年的MMM金融互助组织(俄罗斯人谢尔盖·马夫罗季最先创立的传销诈骗模式)并无区别,属于明确具备传销性质的金融诈骗行为。

图3-4-1 “MMM中国金融互助”传销诈骗网站首页

  由于调查取证的不便,当前从宏观层面整治互联网金融互助的传销骗局尚存在一定难度;但也应当看到,这种毫无新意的骗局并不难以识破,受害者对于暴利收益的贪欲,也是此类骗局不断涌现、长期存在的重要因素。 据安天移动安全情报分析团队分析总结,金融互助类传销诈骗活动往往具备以下共性特点:

•以“人与人之间的帮助”为宣传核心,降低受害者戒心,同时促使受害者发展下线;

•需要花费一定金额购买“注册激活码”或“会员资格”入门;

•投资频率、投资金额与返佣直接挂钩,适用于“上线”及其“下线”;

•利率及收益率往往较高,不仅超过法律规定,更违反常理,如某国内WPP传销诈骗案中其声称月收益率高达45%。

3.4.1 人人公益 (已破案)

  人人公益是一个名义上借助慈善活动造势,但实际通过购买“爱心”“拉人头”获返利等诱骗方式组织、领导传销犯罪活动的平台。该团伙2017年3月被捣毁时,自我粉饰为“一家‘互联网+公益+奖励’的平台公司……链接衣、食、住、行、教育、购物、旅游、医疗、娱乐等各大行业”。

  “人人公益”宣扬一种消费奖励模式,消费者(称为公益天使)在平台上注册后,在注册的“公益联盟商家”消费就可以拿到返利;同时,该公司的业务员为拉客,故意露出“破绽”,诱导客户以商家和消费者的身份同时进驻。这样,不需真正消费,就可实现返利,消费多少全凭商家录入系统,在该平台上其实不存在任何真实交易,而高额返利其实就是用后加入的人的投资来返利给先加入者,实质上还是属于庞氏骗局的一种。

  同时,为了扩大传销活动的影响面,该平台还设计了多个合伙人级别,上级可以从下级提成,一层一层剥削,形成清晰的传销架构。该公司宣称每获利100元,拿出1元做公益,但在办案过程中经警方核实,所谓的公益项目全是虚构的“幌子”。其实际业务只有空对空的传销业务。

  值得注意的是,相比其他精于对内的传销诈骗组织,“人人公益”团伙不仅专门设计了官方网站、开发了App与微信公众号,还设有企划部、新媒体运营及 “段子手”等职位,以段子的方式来进行其组织宣传,以扩大影响力,便于发展会员;就案件过程中反映出来的受害者数量及涉及金额来看,此种做法确实起到一定成效。这也给一般用户及相关行业用户敲响一记警钟,即当前传销诈骗组织已不仅仅擅长于粗暴地“洗脑”、“概念灌输”,而可能结合一些巧妙的媒体运营方式来进行具备诱惑性的宣传,诱使受害者上当受骗。

3.5 支付及理财类

  支付工具及互联网理财,作为用户使用移动端设备或通过互联网直接发生的金融活动,一直以来都是各类诈骗行为、病毒木马的觊觎;而作为直接对金钱(法币)数额及稳定性产生影响的应用App,支付工具及理财App往往具备以极小的额外利润驱使用户去实施某样行为的能力,其最典型则可体现在各类“羊毛党”及“红包党”两类人群身上。

  传销诈骗语境下的支付及理财类App,正如上一段文字所述,利用的即是用户往往不具备底线的“逐利”心理,利用“推广分润”、“发展下线分润”、“购买理财产品分润”、“平台购物全返”等充满诱惑性的业务功能诱使用户加入平台,发展下线。

  借助支付及理财相关业务开展传销诈骗活动的平台,往往具备以下特点:

•推广业务过程中,进行无限层级分润(佣金返还);

•存在“大额返现”、“全额返现”等不切实际的承诺;

•往往不具备应有的第三方支付牌照,或声称拍照与企业实体不符;

•往往同时涉及非法信用卡套现等“金融毒瘤”业务。

3.5.1 信掌柜

3.5.1.1 现象

图3-5-1 “信掌柜”推广海报,其上具有“天下谷集团”字样

  “信掌柜”是一款由深圳市天下谷电子商务有限公司开发的第三方非银行支付平台。其声称具备聚合支付的主要功能,能够实现刷卡支付、清算、转账等第三方支付软件功能,并能够借助软件平台辅助客户管理维护其信用(实际反映为黑户下卡、提额、套现、贷款下款等)。

  2017年6月,国家互联网金融安全技术专家委员会曾发布《“全国互联网金融阳光计划”第三周对投资者声音的反馈》。公告表明,“信掌柜”宣传其开展第三方支付业务及相关产品,但其经营主体(深圳市天下谷电子商务有限公司)第三方支付资质存疑,该平台涉嫌无资质开展第三方支付业务;且根据长期以来“信掌柜”受害用户的反馈汇总,不仅其存在交易金额无限分润的情况,其加盟商户的各层级(大于3级)中也存在层级推广,且按照下线层数及个数进行返佣的情况,本身也存在属于传销诈骗行为的较大可能。

  同时,该公司经营过程中还涉及与持牌第三方支付公司“广州合利宝支付科技有限公司”及“北京恒信通电信服务有限公司”勾结,为其最终客户提供公用事业支付通道套现,虽不属于传销诈骗范畴,但也属于其业务开展过程中存在的问题,故此一并指出。

3.5.1.2 作案方式

  “信掌柜”在推广过程中,采取了无限层级的“合伙人(也即下线或营销层级)”,以及与之相应的无限层级“交易分润”及“下线返佣”两种模式,如下所述:

  “下线无限层级返佣”模式:

•一级合伙人发展二级合伙人,一级合伙人获利5000元;

•二级合伙人发展三级合伙人,一级合伙人获利4000元;

•以此类推往下发展的所有层层级,一级合伙人都可获利4000元。

  “交易无限层级分润”模式:

•二级合伙人刷卡费率为万分之十,以及合伙人获分润的20%;

•三级合伙人刷卡,二级合伙人获分润的20%,以此类推;

•一级合伙人能获二级合伙人所有下线刷卡万分之五的利润;

•二级合伙人能获三级合伙人所有下线刷卡万分之五的利润,以此类推。

  事实上,作为第三方支付工具而言,无论出于何种目的,设立以发展下线为目的的推广政策都存在潜在的较大风险,较易导致其失去本身作为第三方支付工具的存在意义及价值;而在推广体系中允许“无限层级”的下线,以及官方设立无限层级的“分润”、“返佣”,则更是直接从性质上点出了其有很大可能涉及传销诈骗行为。

3.5.1.3 团伙背景

  根据互联网公开情报搜集及对其官方网站http://www.xinzhanggui.net历史页面(现已无法访问)的检索及挖掘结果,安天移动安全情报分析团队发现除“深圳市天下谷电子商务有限公司”之外,还存在以下企业与“信掌柜”具备联系:

•河南信掌柜科技发展有限公司

•河南天下谷科技有限公司

•河南天下谷企业管理咨询有限公司

  其中,“深圳市天下谷电子商务有限公司”官方网站为http://www.txguu.cn,法人为张富强,公司注册地址为深圳市福田区沙头街道泰然七路车公庙工业区206栋东座3层378,公司注册时间为2013年7月29日;

  “河南信掌柜科技发展有限公司”与“深圳市天下谷电子商务有限公司”官方网站相同,法人为雷波,公司注册地址为河南自贸试验区郑州片区(郑东)金水东路33号美盛中心1701号,公司注册时间为2016年8月2日;

  “河南天下谷科技有限公司”与“深圳市天下谷电子商务有限公司”官方网站相同,法人为梁珠山,公司注册地址为郑州市郑东新区金水东路33号美盛中心1701号,公司注册时间为2016年7月21日。

  “河南天下谷企业管理咨询有限公司”官方网站为http://www.txgpay.com,法人为范朋鸽,公司注册地址为郑州市郑东新区金水东路南、农业东路西1号楼17层1701号,公司注册时间为2015年1月29日。

  上述若干公司实体之间,雷波同时担任了“深圳天下谷”与“河南信掌柜”的高管职务;而范鹏鸽(范朋鸽)则担任了“河南信掌柜”、“河南天下谷”的管理职位,同时与“张富强”一起担任“河南天下谷企业咨询”的管理职位。

  对天下谷系列企业的官方网站域名txguu.cn进行Whois域名信息查询,结果如下图,发现txguu.cn的归属人为梁珠山,而这一域名是上述企业几乎共用的官方网站域名,应属于系列公司的核心对外门户:

图3-5-2 txguu.cn域名Whois信息查询截图

  同时,对“河南天下谷企业管理咨询有限公司”官方网站域名txgpay.com进行Whois域名信息查询,发现其归属人也为Liang Zhu Shan(梁珠山),如下图:

图3-5-3 txgpay.com 域名Whois信息查询截图

  故此,鉴于如章节3.5.1.2中所述“信掌柜”平台的运作模式,若判断其为传销诈骗行为,则其团伙核心成员必然由雷波、范鹏鸽(范朋鸽)、张富强及梁珠山四人构成(可能包含其他成员)。

3.6 电信业务类

  电信业务作为各类诈骗事件大多涉及的一项元素,在传销诈骗类犯罪活动的语境内,往往作为一项“幌子”而存在,披着电信分销或“企业电话”等运营商业务的名头,行传销诈骗之实;虽然有时传销诈骗组织也会实际为受害者提供一定的电信业务(免费拨打、免费短信等,如章节3.6.1中“芸生仙子”案例与3.1.1.3中的“优畅神讯”网络电话),但往往不具备稳定性或可用性,且本身电信类业务根据商务部,工商总局2016年第7号文《关于直销产品范围的公告》,并不包含在规定合法的6类直销产品中。

  这一类传销诈骗一般具备以下几类特点:

•声称自己资质齐全、能力雄厚,与移动电信联通紧密合作推出业务,甚至称自己是“第四大运营商”;

•对加入的受害者收取“入门费”,同时以一定返佣政策促使其发展下线;

•网站及域名数量繁多,大多未经备案;

•往往不具备正规公司实体,同样也不具备ICP经营许可证。

3.6.1 芸生仙子/国通通讯

3.6.1.1 现象

  自2015年起,一家名为“国通通讯”的企业以网络电话为名,在我国国内实际开展传销诈骗活动。

图3-6-1 国通通讯宣传单页及实体店铺

  该公司宣传称加入会员后,能够实现“长途市话免费打”,但实际受害者反馈,只几天后便无法使用,但入门“会员费”及各级会员的“升级费”同样不予退还,是典型的利用通讯软件为幌子骗取入门费及会员费的行为,属于较为明显的互联网新型“电信业务类”传销诈骗。但值得一提的是,自2015年底至今,虽然其承载业务的App“国网今来”及“芸生仙子”均已下线无法使用,且“国通通讯”传销诈骗组织在国内遭到多次专项打击,但媒体报道、相关受害者维权的消息以及线上活跃的推广组织仍然络绎不绝,显得该诈骗团伙有“屡禁不止”的态势。

图3-6-2 国通通讯线上推广渠道至今仍然活跃(QQ群截图)

3.6.1.2 作案方式

  “国通通讯”在推广过程中,结合了线上、线下渠道的推广方式,尤其针对中老年人,谎称自己为“中国第四大电信运营商”,以“国”字头公司名称骗取防范心较弱用户群体的信任,继而诱骗其缴纳“入门费”,成为其用户。

  在层级的设立上,“国通通讯”传销诈骗组织巧立名目,吸引用户分别交纳200元、1000 元、5000 元、10000元,成为相对应的文字版、语音版、视频版、商城版客户;其中语音版、视频版、商城版的客户可获得发展其他人员加入的资格。而该经营模式的返佣模式,则对一般用户具备较大吸引力:

•语音版和视频版客户端客户从其直接发展的人员交费中提取30%作为佣金;

•(最初)商城版客户端从其直接发展的人员交费中提取30%作为佣金,并仍可从其直接发展人员所发展的人员交纳费用中提取5%作为报酬。

  据2016年下旬相关受害者所反馈的信息,发展新会员加入“国通通讯”,其上线仍然可获得28%返佣,并且让新会员填写业务受理单还可再获得5%返佣。这种返佣推广高于其具体业务本身的模式,即使其设计之初目的并不是传销,也极易在多层级的推广中演化为传销诈骗行为,遑论“国通通讯”运营公司本身就是经过定性的传销诈骗组织。

  其中,可能考虑到“国通通讯”其企业实体并不具备直销资质,在开展传销诈骗活动的过程中,其也与海南一家名为“芸生(海南)健康产业有限公司”的企业建立了租借直销牌照的合作关系,同样遭到媒体屡次曝光。

图3-6-3 国通通讯租借芸生直销牌照相关报道

3.6.1.3 团伙背景

  根据互联网公开情报检索分析,安天移动安全情报分析团队发现,“国通通讯”运营公司实体的全称为“南京国通通讯科技有限公司”。通过国家企业信用信息公示系统进行查询,可发现该公司法人为张以众,公司注册地址为南京市浦口区大桥北路1号华侨银座1502室,公司成立于2013年9月3日。通过对法人张以众名下的公司进行挖掘,我们能够得到其与“国通通讯”相关公司的关系,如下图:

图3-6-4 张以众名下公司关系图(部分)

  由图及其他外部信息进一步挖掘分析可知,张以众除了具备“南京国通通讯科技有限公司”法人身份之外,还在以下公司担任高管职位(包括但不限于):

•国通通讯科技有限公司

•北京国网今来国通科技有限公司

•北京国网今来科技有限公司

•山东国通通讯设备有限公司

•江苏国通国际大酒店有限公司

•江苏国通梦想岛游乐园有限公司

•宿迁国通之声文化传媒有限公司

•海南芸生国通电子商务有限公司

  鉴于以上公司都具备“国通”关键词,与“国通通讯”这一传销诈骗平台具备高度相关可能,且上述公司至成文时(2017年12月底)仍保持良好存续、开业状态,能够得出“‘国通通讯’传销诈骗组织很大可能未被彻底捣毁,其背后控制者亦未受到应有处理”的结论。

4 总结

  根据上述对本年度国内移动端传销及组织诈骗类活动的整体威胁态势分析,以及对各传销诈骗行为的名义业务类型的典型分析结果,不难发现,尽管近年来公安机关及相关政府部门不断加大对各类传销行为,尤其是涉及互联网的新式传销诈骗行为进行打击整顿,但每年仍有大量受害用户遭受数字总和惊人的各色互联网传销骗局。与此同时,传销诈骗团伙的诈骗手段亦在不断升级,不仅将传统基于商品的传销手法照搬到了互联网上,更是融合了近年来诸如虚拟货币、手机游戏、在线兼职、“微商”等容易使一般用户产生兴趣继而毫无戒心上当受骗的领域。

  然而,即便诈骗手法在变,诈骗场景在变,万变不离其宗的是这些行为的传销本质。本报告的目的也即是如此,希望本着安天一贯的社会责任价值观,通过对当前不同类别的互联网传销诈骗行为,尤其是移动端互联网传销诈骗行为进行分类深层次剖析,使得其根本的传销行为核心能够通过相关报告章节,更完备地呈现在用户及相关行业客户面前。

  正所谓“不知其攻,焉知其防”,对于一般用户来说,只有对这些较为新型的诈骗手段具备理性及感性认识,才能够在遭遇此类诈骗事件时具备辨别能力;而对于行业客户来说,对当前可能或已经构成既成传销诈骗类犯罪案件的组织、个人及其行为表象、运作模式等各细节方面深入了解,不仅对业务上可能起到直接且可观的帮助,也有助于提高实际业务人员对于类似的、本报告中未提及或之后新兴出现的传销诈骗手段的敏感度,起到“知己知彼,料敌先机”的作用。

附录

附录1:名词解释

  庞氏骗局:Ponzi scheme,一种非法性质的层压式推销,其最著名的、成熟的代表案例发生于20世纪初的美国,而各种类似变体至今依旧存在世界各国金融市场中。其运作模式为参与者要先付一笔钱作为入会代价,而先前投资者所赚的钱是来自其他新加入的参加者(“下线”),而非公司本身透过业务所赚的钱。初期通常在短时间内获得回报以利于推行,再逐渐拉长还款时间。随着更多人加入,资金流入不足支出,当现金总量庞大时尚不足以崩溃,甚至也可以正常投资事业来持续运作,但直到骗局泡沫爆破时,最下线的大量投资者便会蒙受金钱损失。

  “传销”:我国境内一般语境下的“传销”行为往往具备庞氏骗局(Ponzi Scheme)的特征,事实上属于一种诈骗行为,具体指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格。随着更多人加入,“传销”组织的资金流入必然不足以供给支出,导致其骗局泡沫破灭。这不仅给处于“下线”的大量受害投资者带来往往难以估量的金钱损失,也对维持社会道德风尚、政治经济秩序稳定带来极大负面影响。

  “北派传销”:北派传销属于非法传销活动的一种,由于最初在东北一带发源而得名。其往往打着“直销”、“网络营销”、“人际网络”等旗号,属于低端传销,上当受骗的人年龄往往较小,20岁左右的年轻人居多,毕业或者未毕业的大学生占有很大的比例。其主要特征是异地邀约,吃大锅饭、睡地铺,集中上课,以磨砺意志为假象,条件比较艰苦。有的组织有控制手机、非法拘禁等限制自由的情况;其以“三商法”、“五级三阶制”等为制度,需要缴纳一定金额的上线款;一般假冒一家公司,以卖化妆品或者保健品为名,实际上产品只是一个道具,都是一些三无产品或根本无产品,且传销组织名称比较杂乱。近年来,北派传销受南派“资本运作”高端传销影响,洗脑手段升级,传销理论向南派学习,投资金额也越来越大。

  “南派传销”:南派传销属于非法传销活动的一种,由于发源地最初在广西来宾、玉林、南宁、北海一带,且与传统“北派传销”手法及诈骗金额等多方面往往大相径庭而得名。其一般声称自己为“连锁销售”、“自愿连锁经营业”、“纯资本运作”、“商会商务运作”、“民间互助理财”等旗号,属于异地传销的升级版,参与者以三四十岁有独立经济能力的人为主,往往许多具备身份地位的受害者亦深陷其中。其运作的主要特征是以考察项目、包工程、旅游探亲为名把新人骗到外地,然后以串门拜访为由一对一洗脑,打着“西部开发”、“北部湾开发”、“中部崛起”的旗号,以“国家项目”、“国家暗中支持”为幌子,传销理论更完善,更具欺骗性与迷惑性。近年来,其由最初的“连锁销售”挂靠一家虚拟的公司卖产品为名,到“纯资本运作”打着“虚拟经济”的旗号而不讲公司和产品,使得南派传销的受害者经济损失较过去更为大。

附录2:各省份传销活动严重程度一览表

  注:本表标注情况为根据互联网信息及公开新闻资讯综合统计而成的定性数据,相关领域并无权威定性/定量数据,且本表也不能作为任何形式研究的辅助及参考,敬请留意。

企业简介

  武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。   

  2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。   

  2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。   

  公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。   

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5083

移动端C#病毒“东山再起”,利用知名应用通信实现远控隐私窃取

  伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈。针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对。早在2015年,安天移动安全就发现一例利用C#编写以逃避查杀的恶意代码,并对其进行了技术分析。

  近日,安天移动安全联合猎豹移动安全实验室又捕获一例类似的病毒,该病毒使用MonoDroid框架进行开发(MoniDroid是以C#语言和部分.Net基类库为核心,使用mono虚拟机为Android平台开发应用的代码框架),MonoDroid框架开发的特点是开发者编写的逻辑代码都会最终编译在dll文件中,而不是常规的dex文件中,因而常规的反病毒检测手段对这类应用一般都会失效。此外,该病毒使用了知名应用Telegram的Bot进行通信,相较于传统的C&C域名通信具有极强的隐蔽性。安天移动安全团队联合猎豹移动安全实验室对其进行了深入分析并发布技术报告,全文如下。

一、样本信息

二、静态分析

  首先从AM文件中,可以看到该病毒申请了一系列与窃密行为相关的权限:

  此外,在AM文件中还看到其注册了各种receiver用来监听系统消息。

  深入查看一个用来接收当有电话打入时的receiver,在该类中我们并未发现一些实际功能代码。在onReceiver函数中,其直接将Context和Intent转交给了一个native方法n_onReceive,然而尴尬的是在这个类中,我们并没有看到有loadLibrary的so文件,而这其实利用的是Mono框架实现的。

  在dex文件中其他的几个类也都存在类似的情况:

  MainActivity也是如此:

  从以上静态分析中,可以了解到该病毒dex文件中基本没有实质性的代码,这里的原因主要来源于MonoDroid框架允许开发者在.Net平台使用C#进行开发,而这意味着我们基本不可能在dex文件中有所得。

三、恶意行为分析

  该病毒的核心恶意模块为google.tools.dll文件,通过对该文件进行反编译后获得该病毒的核心恶意行为。该病毒的整体攻击流程如下图所示:

Step1:自我隐藏并初始化Telegram Bot

  当用户安装应用后,该病毒首先通过MainActivity的onResume()方法,弹出虚假提示框告知用户该程序无法运行并自动卸载,卸载完成后自动隐藏图标,为后续的恶意行为不被发现做好铺垫。而这也是当前常见的恶意代码自我隐藏的主要方式。 隐藏完毕后,该病毒启动下述服务,首先进行了语言识别,针对非英文语言环境会默认显示波斯语。

  mainservice中包含部分组件设置、绑定以及Telegram Bot API(后文简称TBA)模块的初始化相关的行为:

  值得一提的是,该病毒设置了定时器对相关核心恶意服务是否存活进行监控,如果挂掉了,就重启之。

  此外,该病毒还另外注册了两个Telegram的消息回调函数。在这里再次暴露了其通过利用知名应用Telegram提供的框架实现某些重要功能的意图:

Step2:远程控制设备

  在此之前我们也曾发现过一些使用TBA进行通信的样本,本次发掘的样本基本采用纯TBA进行通信,该病毒的远控的行为设计的十分完备,关键操作(文件增删、关键服务的启闭、关机重启被控端、卸载自身等)都需要主控端二次确认操作,分发起操作和确定操作两步。在文件管理功能方面基本上做到了PC端的远控的水平,集合了文件预览、上传、下载、移动、重命名等诸多功能。对于被控端的短信,来电等内容,在主控端可以做到“消息实时推送“级别的接收响应,另外这些功能都可以通过主控端随时进行开闭操作。同时主控端可以控制被控端设备的关机、重启(该功能需要被控端是已经被root的设备,该病毒自身不拥有提权功能),主控端可以随时发起被控端卸载该病毒、实时开启摄像头拍照、实时屏幕截图(需root)、获取实时地理位置信息。

  总的来说这款病毒在软控功能上设计的十分完善,主控端和被控端的可以进行灵活的交互,这点大大区别于其他普通的Android病毒,这在一定程度上得益于TBA提供的各种完善的网络传输方法。

  android.os.CTRLCB类的CTRLMESS()方法中包含了所有控制指令,整理如下。基本上所有上述指令中具体相关功能都在android.os.DoWork中有所实现。

Step3:Root模块检测

  由于远控行为中包括的远程开机、重启、屏幕截图等功能的实现需要设备的Root权限,因此在相关功能执行前,该病毒会先进行Root模块的检测,确认设备是否已经Root。如果已Root,则通过申请Root权限进行相关恶意行为的实施:

Step4:设置定时操作

  该病毒还特别创建了定时操作线程,按照规定的时间间隔进行恶意行为的执行,定时操作分别为:每小时执行对所窃取的隐私信息存放的缓存空间的释放工作;每五秒执行一次,检查采集地理位置的Service是否还在工作:

  而上述定时执行的线程还负责对获取到的隐私信息的定时上传:

Step5:监控亮屏行为激活守护主恶意服务

  亮屏动作的捕获主要是为了实现对主恶意服务mainservice的存活守护,结合上述的定时执行线程以及定时服务探活和激活的逻辑,都足以看出该病毒开发者对保护自我服务的“用心”:

Step6:其他隐私信息窃取

  (1)窃取手机图片

  通过onStartComand方法,启动一个服务去定时获取手机存储中的所有图片类型的文件:

  该病毒专门对此服务设置了定时器去进行“服务守护”,如果服务挂掉,重启之。

  **(2)监听短信模块 **

  从+98编码可以看出,该病毒的活动范围为某中东地区。此外,该病毒还会监听短信发送行为:

  **(3)窃取通话录音记录 **

  **(4)利用相机拍照 **

  **(5)获取通讯录 **

  **(6)窃取来电记录 **

  监视网络变化,上传通话记录,守护恶意服务:

  **(7)获取地理位置 **

四、事件分析

  从我们捕获到的样本上来看,该病毒基本上都是伪造的工具类应用,包名google.tools、System.OS也非常普遍,我们很难从这些地方发掘出可能的攻击对象和目标群体属性。 但是根据在应用中出现的波斯语设置以及在短信监听中出现的+98国际区号的线索,我们推测出,该病毒的活跃地区应该是某中东国家。此外,在分析的过程中我们发现了一个疑似主控端Telegram的账号主页:https://telegram.me/Qhack。该主页账号指向的是Telegram的某位用户账号“Qhack”。我们在Telegram上搜索这个用户,结果如下:

  从第二张图片中,我们可以发现这个账号在1小时前还在线,但是个人信息中并没有什么内容,因此推测这可能只是一个用来作为主控端的僵尸账号。 通过样本关联,我们在这批样本的其中一个签名下关联到一种不同的样本,但是都是使用MonoDroid框架编写,类名、方法名命名极为相似,都有伪装卸载后台隐藏图标启动恶意服务的行为,但是编写较为粗糙,虽然也进行了部分隐私信息的窃取,但并未如前面所分析的使用Telegram进行通信,而只是简单的使用http的方式进行通信,通信的IP为148.251.203.5、148.251.32.113,其中一个样本名为“电报技巧”(Telegram的译名就叫“电报”),同样也是活跃在波斯语的使用地区,推测这类样本可能是早期的产物。

  一代样本:

  二代样本:

  从技术手法上来看,使用C#开发Android应用不多见,推测攻击者可能是精于Windows开发的技术人员,当然也不排除是故意为了混淆视听或是规避杀软检测而为之。从代码结构上来看,其模块划分比较明确,组织结构安排的也较为合理,同时其通信过程完全使用TBA,与TBA配合的远控行为逻辑和功能设计也颇有特色,从这些角度看来该攻击组织具备相当不错的技术水平。

五、总结

  该病毒采用C#编写,通过将逻辑代码编译在dll文件中而不是常规的dex文件中来规避常规的恶意代码检测机制。此外,该病毒使用了知名应用Telegram的Bot进行通信,进一步增强了其隐蔽性。这说明恶意开发者有一定的反查杀意识和能力。在此基础上,该病毒建立起了一套完整的远程控制体系,涵盖了各种远程控制恶意行为,包括对各种设备硬件信息采集、文件管理(文件和文件夹预览、移动、删除、重命名、上传、下载)、短信实时监控、通话记录实时监控,以及截屏、通话录音、图片、账户、和地理位置实时获取、远控摄像头拍照等等,极大程度上侵犯了用户的个人隐私信息安全,具有非常强的危害性。

  对此,安天移动安全联合猎豹移动安全实验室已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动反病毒引擎的安全产品,定期进行病毒检测,保护个人信息安全。

企业简介

  武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。   

  2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。   

  2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。   

  公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。   

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5020

更多技术文章,请关注AVL Team官方微信号

安天移动安全:Janus高危漏洞深度分析

一、背景介绍

  近日,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。 众所周知,Android具有签名机制。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。但如果恶意攻击者用另一把私钥对APK签了名,并将这个修改过的APK对用户手机里的已有应用升级时,就会出现签名不一致的情况。因此,在正常情况下,Android的签名机制起到了防篡改的作用。

  但如果恶意攻击者利用Janus漏洞,那么恶意攻击者就可以任意地修改一个APK中的代码(包括系统的内置应用),同时却不需要对APK进行重新签名。换句话说,用这种方式修改过的APK,Android系统会认为它的签名和官方的签名是一致的,但在这个APK运行时,执行的却是恶意攻击者的代码。恶意攻击者利用这个修改过的APK,就可以用来覆盖安装原官方应用(包括系统的内置应用)。由此可见,该漏洞危害极大,而且影响的不仅是手机,而是所有使用Android操作系统的设备。

  目前,Google将该漏洞危险等级定义为高,其影响Android 5.1.1至8.0的所有版本。基于多年以来针对移动端漏洞的技术积累和安全对抗,安天移动安全对Janus高危漏洞进行了紧急分析,并发布技术报告,全文如下。

二、漏洞原理

  ART虚拟机在加载并执行一个文件时,会首先判断这个文件的类型。如果这个文件是一个Dex文件,则按Dex的格式加载执行,如果是一个APK文件,则先抽取APK中的dex文件,然后再执行。而判断的依据是通过文件的头部魔术字(Magic Code)来判断。如果文件的头部魔术字是“dex”则判定该文件为Dex文件,如果文件头部的魔术字是“PK”则判定该文件为Apk文件。

  另一方面,Android在安装一个APK时会对APK进行签名验证,但却直接默认该APK就是一个ZIP文件(并不检查文件头部的魔术字),而ZIP格式的文件一般都是从尾部先读取,因此只要ZIP文件尾部的数据结构没有被破坏,并且在读取过程中只要没有碰到非正常的数据,那么整个读取就不会有任何问题。

  总而言之,Android在加载执行代码时,只认文件头,而安装验证签名时只认文件尾。

  因此只要构造一个APK,从其头部看是一个Dex文件,从其尾部看,是一个APK文件,就可以实施攻击。很容易想到,将原APK中的classes.dex抽取出来,改造或替换成攻击者想要执行的dex,并将这个dex和原APK文件拼起来,合成一个文件,就可以利用Janus漏洞。

  当然仅仅简单地将恶意dex放在头部,原apk放在尾部合起来的文件还是不能直接用来攻击。需要稍作修正。对于头部dex,需要修改DexHeader中的file_size,将其调整为合并后文件的大小。另外需要修改尾部Zip,修正[end of central directory record]中[central directory]的偏移和[central directory]中各[local file header]的偏移。

  当然,Janus漏洞是针对APK文件的攻击,因此v1签名无法抵御这类攻击,而v2签名可以抵御。

三、漏洞利用

图1 攻击文件拼接原理

  具体的漏洞利用分为3步:

    1.从设备上取出目标应用的APK文件,并构造用于攻击的DEX文件;
    2.将攻击DEX文件与原APK文件简单拼接为一个新的文件;
    3.修复这个合并后的新文件的ZIP格式部分和DEX格式部分,修复原理如图1所示,需要修复文件格式中的关键偏移值和数据长度值。

  最后,将修复后的文件,重命名为APK文件,覆盖安装设备上的原应用即可。

四、漏洞修复

1.Google官方修复方案

  对文件system/core/libziparchive/zip_archive.cc打上如下patch

2.修复原理

  打开ZIP格式文件时,多做了一项校验,也就是检测文件的头部是不是以‘PK’标示打头。如果是,则进行正常的逻辑,否则认为该文件不是一个合法的ZIP格式文件。

五、总结

  Android平台上的应用签名机制是Android安全的基石。Android平台的permission机制完全依赖于应用的签名,签名机制一旦突破,所有基于Android permission构建的安全体系将崩溃。而Janus漏洞已经不是Android平台的第一例签名机制漏洞了,之前由“Bluebox”发现的Master Key漏洞和“安卓安全小分队”(安天移动安全上海团队前身)发现的第二个Master Key漏洞都是利用签名机制的漏洞,其原理是利用Android的代码中对APK验证不充分的缺陷,使得应用在安装时验证的是原dex,但执行的是另一个dex,从而达到瞒天过海、偷梁换柱的目的。

  Janus漏洞的利用在原理上也类似,它将恶意dex和原apk拼接在一起,安装验证时验证的是原apk的dex,而执行时却是执行恶意dex。修复这类漏洞的原理也很简单,就是加强安装时的验证,避免不合法应被安装到系统中。针对Janus漏洞,只需简单验证一下apk文件的头部是不是‘PK’即可。如果不是,则该apk 文件一定不是一个正常的apk文件。

  Janus漏洞再一次提示我们,即使像Google这样的跨国科技企业也难免在签名验证这么关键的环节上多次产生漏洞,特别是Janus漏洞从2014年就已经存在,潜伏长达3年之久,并且从Android 5.1-8.0版本都存在这个漏洞。这说明了安全问题有时是极其隐蔽的,暂时未发现安全问题,不代表安全问题不存在;更说明了安全是动态的而不是静止的。因此安全防护是一个工程化体系化的持久战,很难通过单次或短期投入就将安全问题一次性解决,在安全方面只有持续而坚定地投入,一旦发现风险或者漏洞就要以最快的速度及时修复,只有这样才能保证系统安全而稳定地运行,最大程度地规避风险和损失。

附录:技术参考

  要理解Janus高危漏洞的原理,首先需要掌握一些基础知识:ZIP文件结构、DEX文件结构和Android APK签名机制。

1. DEX文件结构

图2 dex文件格式

  Dex文件有很多部分组成(如图2),其中Dex Header最为重要,因为Dex的其他组成部分,都需要通过这个Dex Header中的索引才能找到。 Dex Header内部结构如下:

图3 dex header 结构

  在Dex Header中(如图3),file_size规定了整个dex文件的总大小。因此,如果想在Dex文件中隐藏一些额外的数据的话,最简单地,就可以将这些数据追加到Dex文件末尾,然后再将file_size调大到合适的值即可。

2. ZIP文件结构

  ZIP文件可以通过获得文件尾部的End of central directory record(EOCD record)获取central directory,遍历central directory中的每项记录得到的file data即为压缩文件的数据。

表1 ZIP文件结构

  如表1,读取ZIP文件时,会现从最后一个记录区end of central directory record中读取central directory的偏移,然后遍历central directory中的每一项,获取每个文件的 local file header,最后通过 local file header 获取每个文件的内容。 End of central directory record结构体如下:

表2 End of central directory record结构

  该结构(如表2)中的offset of start of central directory with respect to the starting disk number,指向了central directory的位置。 Central directory结构体如下:

表3 Central directory结构

  该结构(如表3)中的relative offset of local header,指向了每个文件的Local File Header的位置。

  因此,如需在ZIP文件中隐藏一些数据,可将这些数据简单添加到头部,然后修改End of central directory record中central directory的偏移。同时修改每个central directory中的Local File Header的偏移即可。

3.Android APK签名机制

  Android APK签名机制分为两个版本:v1和v2版本。

  两个版本的签名区别在于,前者是对APK中的每个文件进行签名,如果APK中某个文件被篡改了,那么签名验证将会通不过;后者则是对整个APK文件进行签名,只要APK文件的内容发生变化则签名失效。

  很显然,v2版本要比v1更加严格,安全性会高很多。 但遗憾的是,Android从7.0开始才引入v2签名。之前的所有Android系统只能验证v1签名的app,即使这个app也用V2签名了。 以下是两个版本的签名对比:

表4 v1 v2签名对比

  对于android 7.0以上,系统在校验签名是会先检查是否存在V2签名方案,若存在,则通过V2签名方案对APK进行校验,否则使用V1签名方案对APK进行校验。

图4 Android v2签名流程

  对于android 7.0以下的系统,不支持V2签名方案,所以APK在签名时最好将两种签名方案都支持。

企业简介

  武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。   

  2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。   

  2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。   

  公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。   

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5014

更多技术文章,请关注AVL Team官方微信号

安天移动安全发布“大脏牛”漏洞分析报告(CVE-2017-1000405)

一、背景简介

  脏牛漏洞(CVE-2016–5195)是公开后影响范围最广和最深的漏洞之一,这十年来的每一个Linux版本,包括Android、桌面版和服务器版都受到其影响。恶意攻击者通过该漏洞可以轻易地绕过常用的漏洞防御方法,对几百万的用户进行攻击。尽管已针对该漏洞进行了补丁修复,但国外安全公司Bindecy对该补丁和内容做出深入研究后发现,脏牛漏洞的修复补丁仍存在缺陷,由此产生了“大脏牛”漏洞。基于多年以来针对移动端漏洞的技术积累和安全对抗,安天移动安全对“大脏牛”漏洞进行了详细的技术分析,并提供了验证方案,全文如下。

二、漏洞原理分析

2.1 脏牛漏洞回顾

  在分析大脏牛漏洞前,我们需要对原始的脏牛漏洞利用方式进行完整的分析理解: 之前的漏洞是在get_user_pages函数中,这个函数能够获取用户进程调用的虚拟地址之后的物理地址,调用者需要声明它想要执行的具体操作(例如写/锁等操作),所以内存管理可以准备相对应的内存页。具体来说,也就是当进行写入私有映射的内存页时,会经过一个COW(写时拷贝)的过程,即复制只读页生成一个带有写权限的新页,原始页可能是私有保护不可写的,但它可以被其他进程映射使用。用户也可以在COW后的新页中修改内容之后重新写入到磁盘中。         

  现在我们来具体看下get_user_pages函数的相关代码:

  整个while循环的目的是获取请求页队列中的每个页,反复操作直到满足构建所有内存映射的需求,这也是retry标签的作用。   

  follow_page_mask读取页表来获取指定地址的物理页(同时通过PTE允许)或获取不满足需求的请求内容。在follow_page_mask操作中会获取PTE的spinlock,用来保护试图获取内容的物理页不会被释放掉。

  faultin_page函数申请内存管理的权限(同样有PTE的spinlock保护)来处理目标地址中的错误信息。在成功调用faultin_page后,锁会自动释放,从而保证follow_page_mask能够成功进行下一次尝试,以下是涉及到的代码。         

  原始的漏洞代码在faultin_page底部:

  上面这个判断语句想要表示的是,如果当前VMA中的标志显示当前页不可写,但是用户又执行了页的写操作,那么内核会执行COW操作,并且在处理中会有VM_FAULT_WRITE标志。换句话说在执行了COW操作后,上面的if判断为真,这时就移除了FOLL_WRITE标志。         

  一般情况下在COW操作后移除FOLL_WRITE标志是没有问题的,因为这时VMA指向的页是刚经过写时拷贝复制的新页,我们是有写权限的,后续不进行写权限检查并不会有问题。 但是,考虑这样一种情况,如果在这个时候用户通过madvise(MADV_DONTNEED)将刚刚申请的新页丢弃掉,那这时本来在faultin_page后应该成功的follow_page_mask会再次失败,又会进入faultin_page的逻辑,但是这个时候已经没有FOLL_WRITE的权限检查了,只会检查可读性。这时内核就会将只读页面直接映射到我们的进程空间里,这时VMA指向的页不再是通过COW获得的页,而是文件的原始页,这就获得了任意写文件的能力。   

  基本来看,上述的过程流也就是脏牛漏洞的利用过程。   

  在faultin_page中有对应的修复补丁:

  同时也加入了另一个新的follow_page_mask函数:

  与减少权限请求数不同,get_user_pages现在记住了经过COW循环的过程。之后只需要有FOLL_FORCE和FOLL_COW标志声明过且PTE标记为污染,就可以获取只读页的写入操作。

2.2 大脏牛漏洞分析

  THP通过PMD(Pages Medium目录,PTE文件下一级)的_PAGE_PSE设置来打开,PMD指向一个2MB的内存页而非PTEs目录。PMDs在每一次扫描到页表时都会通过pmd_trans_huge函数进行检查,所以我们可以通过观察PMD指向pfn还是PTEs目录来判断是否可以聚合。在一些结构中,大PUDs(上一级目录)同样存在,这会导致产生1GB的页。 仔细查看脏牛补丁中关于THP的部分,我们可以发现大PMDs中用了和can_follow_write_pte同样的逻辑,其添加的对应函数can_follow_write_pmd:

  然而在大PMD中,一个页可以通过touch_pmd函数,无需COW循环就标记为dirty:

  这个函数在每次get_user_pages调用follow_page_mask试图访问大页面时被调用,很明显这个注释有问题,而现在dirty bit并非无意义的,尤其是在使用get_user_pages来读取大页时,这个页会无需经过COW循环而标记为dirty,使得can_follow_write_pmd的逻辑发生错误。

  在此时, 如何利用该漏洞就很明显了,我们可以使用类似脏牛的方法。这次在我们丢弃复制的内存页后,必须触发两次page fault,第一次创建它,第二次写入dirty bit。

  调用链:

  经过这个过程可以获得一个标记为脏的页面,并且是未COW的,剩下的就是要获取FOLL_FORCE和FOLL_COW标志了。这个过程可以采取类似dirtyCOW的利用方式。   

  总结这个漏洞利用的思路如下:   

1.首先经过COW循环,获取到FOLL_COW标志
2.用madvise干掉脏页
3.再次获取页将直接标记为脏
4.写入

三、影响范围

3.1 漏洞影响范围

  由于从2.6.38内核后才开始支持THP,所以漏洞影响所有内核在2.6.38以上并且开启THP的Linux系统。万幸的是在大多数Android系统的内核中没有开启THP,所以对于Android系统几乎没有影响。

3.2 如何在系统上查看是否受到影响

  如果是开发者,有内核源码可以查看编译的config文件,看CONFIG_TRANSPARENT_HUGEPAGE是否打开

  如果没有源码,在shell中可以查看/sys/kernel/mm/transparent_hugepage/enabled,如果输出结果为[always]表示透明大页被启用、[never]表示透明大页被禁用、[madvise]表示只在MADV_HUGEPAGE标志的VMA中启用THP,例如:

  如果以上两者都没有,可以查看/proc/meminfo,如果连HugePage*都没有,那就说明没有开启大页面,也不会受到漏洞影响。

四、验证代码

  验证POC请参照:https://github.com/bindecy/HugeDirtyCowPOC

五、修复建议

  截止到文章发布时间,Linux各发行版本还未公布针对该漏洞的补丁信息,软件开发人员可通过:https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?h=linux-4.9.y&id=7031ae2ab37d3df53c4a4e9903329a5d38c745ec重新编译Linux修复该漏洞。如果开发人员暂时无法编译和替换内核,可以通过关闭透明大页(THP)来缓解。

六、总结

  “脏牛”漏洞是Linux内核之父Linus亲自修复的,他提交的补丁单独针对“脏牛”而言并没有问题。从我们的分析过程中发现,内核的开发者希望将“脏牛”的修复方法引用到PMD的逻辑中,但是由于PMD的逻辑和PTE并不完全一致才最终导致了“大脏牛”漏洞。连内核的开发者都会犯错,更何况普通的开发者。   

  “大脏牛”漏洞再一次提示我们,即便是官方修复过的漏洞仍有可能由修复补丁引入新的严重漏洞,漏洞在修复后需要我们像对待原始漏洞一样继续跟踪其修复补丁。

七、参考资料

1.https://medium.com/bindecy/huge-dirty-cow-cve-2017-1000405-110eca132de0 2.https://bbs.pediy.com/thread-223056.htm 3.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000405

企业简介

  武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。   

  2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。   

  2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。   

  公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。   

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=4961

更多技术文章,请关注AVL Team官方微信号

安天移动安全联合猎豹移动首次揭露“Operation Manul”疑似在Android端的间谍软件行为

间谍软件窃听2

前言

  去年8月份,美国黑帽大会曾公开发表了一篇报告,揭露了名为“Operation Manul”的组织针对该国相关人士进行的大面积网络攻击和窃听行为,并分析了其在PC端使用的窃听技术及域名。

  通过对报告中披露的多个用做指令控制和文件上传的C2 Server域名进行内部检索对比,安天移动安全联合猎豹移动发现了一批相关恶意样本,分析发现该间谍软件通过伪装成海外知名应用潜入目标用户手机,在获取权限后会展开一系列窃听行为:私自拍照、录音,并窃取用户短信、通讯录、地理位置等隐私信息,而后将相关数据上传至远程服务器。

  这是自报告公开以来首次发现“Operation Manul”组织疑似在Android平台存在攻击行为,以下是对我们捕获的安卓端间谍软件的详细分析。

一、简要分析

  安天移动安全与猎豹移动联合发现的这批间谍软件,皆伪装为海外知名应用并将恶意代码注入其中,进而对目标用户实施恶意攻击。被伪装的知名应用不乏有即时通讯软件WhatsApp、流量加密软件Orbot以及互联网代理服务软件Psiphon等。

  被植入恶意模块的应用程序包结构如下图所示:1

二、分析对象说明

  我们发现攻击者在不同的知名应用中所植入的恶意模块几乎完全一致,故选择其中一个样本进行下述详细分析。分析对象如下:2

三、恶意行为分析

  通过AM文件可以看到,该间谍软件为了达成窃取短信、通话、录音等用户敏感隐私信息,注册了大量的receiver和相关权限。以下是恶意模块的相关属性: 3

  根据程序运行逻辑,整体恶意行为的攻击路线大致分为3个步骤:

Step1 敏感权限获取

  该病毒首先会请求用户给予相应的权限,如调用摄像头、录音、获取地理位置、获取通话记录和读取短信等权限,为后续窃取目标用户的敏感信息做攻击前准备。45

  而后,该病毒的Pms和Pmscmd模块会对当前程序是否获得关键权限进行确认。如未获得相应权限,则再次发起权限申请请求,确保权限到手以进行信息窃取。6

Step2 执行远控指令

  该病毒的主体恶意行为的执行基本完全依赖于远程服务器所发送的指令。该病毒开机自启动后立即运行恶意模块,通过https接收远程控制服务器发送的控制指令信息。基于指令信息执行相应的恶意行为,最终实现隐私信息的窃取和代码自我更新的目的。接下来我们对该过程进行详细介绍。

  ReSeRe是一个自启动项,用于启动该木马的主要恶意服务MySe:7

  MySe为此程序最主要的恶意模块,onCreate会启动线程F:8

  线程F包含接收远控命令,解析远控命令,执行恶意行为:91011-2

  远程控制指令中包含了大量用户隐私信息窃取指令,如窃取用户短信、联系人、通话记录、地理位置、浏览器信息、手机文件信息、网络信息、手机基本信息,私自拍照、录音等等,收集信息后进而将这些用户敏感数据上传至远程服务器。12

step3 执行代码内其他恶意模块

  通过ReSe恶意模块对用户环境进行录音:13

  MyPhRe主要是监听通话的作用:14

四、溯源分析

  通过分析,从代码中我们找到了用于通信的C&C服务器:15

  解密上述地址后得到明文C&C地址,解密的key为Bar12345Bar12345: 16.0

  同时,根据该C&C服务器的域名,我们在去年黑帽大会发布的报告中发现了相同的域名地址。原报告盘点了Operation Manul在PC侧所实施的钓鱼等一系列攻击所使用的服务器信息(如下图所示),其中包含了adobeair.net域名,而这一定程度也印证了我们所捕获的安卓端病毒源自原报告所指的Operation Manul组织的可能性。17

图注:上图来源于黑帽大会上发布的报告

  使用whois对域名adobeair.net进行反查后,我们发现了一个疑似开发者的邮箱:iainhendry@blueyonder.co.uk,其所持有adobeair.net域名的时间与原报告提出的攻击时间吻合。

  同时通过进一步搜索,我们查询到了该邮箱用户开发的用于应用推广的网页http://www.androidfreeware.net/developer-3195.html。而其中所推广的安卓应用都为其所开发。因此猜测该邮箱用户应该也是一位具有安卓编程能力的开发者。而这一定程度也与本文安卓端间谍软件活动的溯源进行了一次关联。 18

五、总结

  近几年,随着智能手机和移动网络在世界范围内的普及,移动端的定向攻击也逐步增多,并出现和PC端进行高度结合的趋势。两者往往相互配合,获取高价值的具有个人身份属性的信息,成为恶意攻击中的重要一环。与此同时,由于移动设备的边界属性和高社会、高隐私属性,一旦攻击成功,极有可能导致攻击结果出现雪崩效应,损失不断扩大。本次“Operation Manul”攻击事件不仅是一个疑似PC端和Android端联合攻击的案例,同时也是针对特定目标人群实施的定向攻击的典型事件。

  而针对高价值用户进行的定向攻击往往是移动威胁对抗中的经典长尾问题。尾部安全事件由于其受众明确、攻击意图直接、涉及用户重度隐私的特点,往往给目标受害群体带来了不可比拟的损失。对此安全厂商更需要密切关注并持续提升长尾威胁的对抗能力,真正为用户侧的移动安全保驾护航。

附录

IOC (Android):19

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与知名芯片厂商高通进行合作;为OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商提供技术和产品服务,为全球超过9亿终端用户保驾护航。

  更多信息详见公司官网:http://www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4898

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

2017上半年移动安全报告 | 猎豹移动与安天移动安全联合发布

博客发布

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与知名芯片厂商高通进行合作;为OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商提供技术和产品服务,为全球超过9亿终端用户保驾护航。

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4817

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

安天移动安全联合猎豹揭秘无形之贼Dosoft免杀病毒

  网络安全的核心本质是攻防对抗。当安全工作者使用手上的安全武器保卫网络安全时,恶意攻击者也在想方设法予以对抗、夹缝求生。“免杀病毒”便是正邪对抗的产物。免杀是一种避免被杀毒软件查杀的技术,利用这种技术,免杀病毒可以在杀毒软件面前肆无忌惮地实施恶意行为而不被发现。

  近期,安天移动安全团队和猎豹安全实验室捕获了一例企图绕过杀毒软件实现免杀的病毒——Dosoft,该病毒通过捆绑在正常应用中潜入用户手机,待应用运行后则启动服务立即执行恶意代码模块,通过修改杀软数据库的手段躲避查杀,并利用系统漏洞root手机而获取root权限,从而在后台私自静默推广并安装其他App,消耗用户流量资费,可谓是“无形之贼”。01

Dosoft病毒界面

02

静默安装其他App示例

一、恶意行为流程图

003

二、恶意行为详细分析

Step1.上传设备信息,获取恶意文件下载地址列表

  该应用捆绑恶意代码,运行后启动服务去执行恶意代码模块,并上传手机设备信息,获取恶意文件下载地址列表。上传的手机设备信息包含IMEI、IMSI、Android的版本、国家代码(ISO标准形式)等多项信息。04

  上传的目标URL: http://smzd.cntakeout.com:36800/configsc.action

  通过网络抓包获取加密通信数据:05

  对返回的数据进行解密,表面上看都是一些.png文件的下载地址列表。06

  但对这些下载地址通过字符串拼接形成完整链接后访问发现,实际上.png文件并非图片文件,而都是加密的ELF、zip和apk文件。

Step2.保存返回的数据,下载恶意子包

  Dosoft病毒将Step1获取的返回数据保存到pluginLib.xml文件中,目的是为了避免每次请求服务器获取配置信息而引起杀软注意并影响攻击效率。Dosoft病毒再次运行时将直接读取该文件中的数据,解密后立即下载恶意文件。07

  解析保存的数据,进行解密后,然后下载ajsbv_43.png和eql_29.png恶意子包。08

Step3.解密下载的恶意子包,动态加载

  上一步骤下载获得的子包的主要作用为完成其他恶意文件的解密、获取root权限、ELF文件的授权和注入以及执行杀毒软件的对抗策略。调用Lib/libNDKlib.so的load函数解密eql_29.png子包,并且动态加载。09

Step4.添加病毒信息至杀软数据库中,以防查杀

  检测是否安装某杀毒软件:10

  如果受害用户手机中安装了相关杀毒软件,则把恶意的apk文件信息写入杀软的sh**d.db和v_a*****rus.db数据库中,其手段类似于添加自己的数据到杀软白名单中,防止被杀毒软件查杀。1112

Step5.获取root权限,并注入恶意文件到系统内

  Dosoft病毒所使用的提权工具会根据手机的设备信息而下发特定的提权文件。在我们测试该病毒的场景下,发现Dosoft病毒使用了CVE-2015-3636漏洞提权。工具的来源地址: http://ad.keydosoft.com/scheme/rpluIn/rpluIn_28.png 13

  其实在主包的目录assets\rpluIn_25.png中也有一个漏洞利用的文件,利用MTK相机内核驱动缺陷导致的权限提升,可见病毒作者准备了多个root方案。14

  完成root权限的获取后,恶意代码利用文件注入手段,企图修改系统配置。而在注入恶意文件到系统前,Dosoft病毒先检测常用杀毒软件是否运行,如运行则强制关闭杀软。15

  上述操作完成后,Dosoft病毒进而将恶意文件qweus、.ts、注入至手机system/bin/目录以及install-recovery.sh文件中。1617

  其中qweus文件实际为su文件,只需调用qweus qweoy命令即可再次获取root权限。.ts文件与恶意子包行为一致,该文件被注入到了install-recovery.sh中,使得手机开机后可以自动启动恶意程序并运行。 18

  为防止系统注入文件被删除,恶意开发者还将恶意文件备份至/data/local/tmp目录,保证文件被删除后能够从该目录下及时恢复,或直接从该目录中执行这些文件。 19

  此外,Dosoft病毒利用已获取的root权限,将Nuxikypurm.apk(包名:com.android.uhw.btf)恶意子包注入到System/app/目录,防止被卸载。20

Step6.下载推广应用并静默安装

  在上述操作后,Dosoft病毒利用一系列手段实现了自我保护。接下来,Dosoft便可以“高枕无忧”地执行恶意推广以及静默安装推广应用的行径。

  再次请求URL:smzd.cntakeout.com:36800/feedbacksc.action,返回推广应用的下载地址。21

  解密后获得明文URL,将文件进行分析后,下载文件的URL以及文件类型如下:2223

  当其他的应用下载完成后,Dosoft利用已申请的root权限,在用户不知情的情况下,对后台下载的应用进行静默安装,以实现最终的恶意推广目的,获取非法利益。2425

总结

  至此,Dosoft病毒利用一系列手段保护自己,实现了其恶意下载推广应用的目的。为了逃避杀毒软件的检测,病毒开发者可谓是煞费苦心。其核心恶意逻辑都通过云端动态加载配置文件进而完成。而云端下发的恶意文件都经过多级加密处理,采用依赖性的解密方法方可解密(解密的过程先要通过A文件解密B文件,然后再通过B文件去解密其他的文件)。其提权环节为通过云端下发提权策略,并利用了CVE的漏洞来提升root成功率。此外,Dosoft病毒还将自有文件信息写入杀毒软件数据库,最终加大了杀毒软件的查杀难度。27

简易恶意行为逻辑图

安全建议

  针对Dosoft病毒,猎豹安全大师等集成安天AVL移动反病毒引擎的安全产品已经实现全面查杀。安天移动安全团队和猎豹安全实验室提醒您:   1、建议从正规应用市场下载应用,不要从不知名网站、论坛、应用市场等非正规渠道下载应用;   2、培养良好的安全意识,使用猎豹安全大师等集成了安天AVL引擎的安全产品定期进行病毒检测,以更好识别、抵御恶意应用;   3、当手机中莫名出现新安装应用等异常情况时,请及时使用安全产品扫描手机并对异常软件进行卸载处理。

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与知名芯片厂商高通进行合作;为OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商提供技术和产品服务,为全球超过8亿终端用户保驾护航。

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4777

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”

  伪装成流行应用是手机病毒的常见手段,对于那些没有实际功能的病毒,细心的用户可能很快会发现自己安装了仿冒的应用,但是这次病毒使用了新的招数……

  近期猎豹安全实验室和安天移动安全团队捕获了一款通过伪装成流行应用进入用户手机的病毒——HideIcon病毒,该病毒为了让自己伪装得更逼真,运行后先隐藏自身图标,后续以应用更新的方式提示用户下载所伪装的正版应用。在用户安装正版应用、放松警惕的同时,实际病毒已经开始在后台悄悄运行。在成功获取用户信任之后,病毒会进行推送各种广告、下载其他恶意插件的行为,长期消耗用户的流量资费,对用户的个人隐私造成严重威胁。

一、感染情况分析

  根据猎豹安全实验室提供的数据统计分析, HideIcon病毒在全球感染的地域较为广泛,南亚、东南亚、欧洲、北美洲、南美洲均有分布。感染量Top10的国家依次是印度、印尼、俄罗斯、菲律宾、墨西哥、美国、伊朗、加拿大、马来西亚、泰国,其中南亚及东南亚国家有一半之多,且占据感染量第一、二位。可见南亚及东南亚地区是HideIcon病毒感染的重灾区。001

  此外,根据数据统计可知,在2017.5.1至5.24期间,HideIcon病毒的感染量整体呈现平稳增长趋势,从五月初的140万左右的感染量增长至五月底的150万左右的感染量,尤其是在五月下旬,出现了一次感染量增长的“小高峰”,应当引起一定的警惕。2

  根据猎豹安全实验室捕获的病毒样本统计,目前有包括Pokemon Go,WhatsApp在内的6款流行应用被该款病毒伪装,对应的图标和应用名称如下:003

二、恶意行为分析

2.1 恶意行为流程图

4

2.2 恶意行为详细分析

Step1:上传设备信息,隐藏图标

  HideIcon病毒启动后首先上传Android_ID、IMEI、MAC、已安装应用列表等移动设备隐私信息,其目标url为http://vinfo.mplugin.info/veco-service/v2。 05

  HideIcon病毒上传的加密隐私信息内容如下:06

  将上述加密信息解密后信息标签和内容如下,其中包含了安卓版本信息、MAC地址等等。07

  在上传设备隐私信息后,进行隐藏图标的操作:08

Step2:诱导用户安装所伪装的正版应用

  首先,HideIcon病毒会在后台开启服务: 09

  其次,将assets下的正版应用文件(下图展示的为9APPs url)复制到SD卡并且开启一个新线程,并以应用更新的名义不断提示并要求用户安装正版应用。10111213

  在用户安装正版应用并使用正常的时候,往往会放松警惕,而这时HideIcon病毒却一直在后台运行并陆续进行着各种恶意行为。

Step3:联网获取远程指令,实施远程控制

  HideIcon病毒监听到正版应用安装完成后,就开始正式实施恶意行为。其主要手段是通过联网从指定链接中获取远程指令,并根据返回值进行一系列的恶意行为(指定链接:http://vervice.mplugin.info/veco-service/v2)。返回值和对应的恶意行为如下所示:14

  获取指令并根据指令进行操作:15

  显示广告:16

  下载插件:1718

  之后不断请求安装插件:1920

  下载的插件和病毒程序本身的行为非常相似,都包含联网获取指令代码,后续执行广告和激活设备管理器等行为。插件伪装成Google Service,内置多种广告sdk:021 022

  激活设备管理器的代码如下所示,是否激活也是通过url返回值控制:024024

  url返回值中包含一些社交应用包名,打开这些社交软件时会弹出激活设备管理器:025

  设备管理器界面显示的信息也是从url返回值中获得的:026027

Step4:推送广告

  HideIcon病毒会不断查询获取当前的栈顶activity:028

  然后判断当前栈顶activity是否属于系统应用或远控指令返回的知名社交应用对象,如果不是则加载广告:029030031

  加载的广告将以悬浮窗或者全屏的形式置顶。032

三、溯源分析

  经分析,该病毒相关的一系列URL对应的ip地址为越南和新加坡。此外根据病毒应用签名及时间,可以猜测作者是越南人,位于河内,姓张。033

  同时,根据签名信息和代码结构,一些关联样本也被找到,其hash如下:034

  以上样本从2015年4月开始出现,初期的样本主要是伪装为系统应用并展示广告,但是随着时间的推移,该家族的样本也进行了一些技术升级,例如获取设备管理器、引导用户安装正版应用、远程下载插件,同时根据上传信息来投放广告等行为,进一步加大了杀毒软件以及用户对该病毒的判别难度,也足以看出HideIcon病毒有相对较长的传播周期。同时,其相关的ip主要是在越南和新加坡,结合前文的感染国家分布,可以推测该病毒的目标人群主要在东南亚地区。

四、安全建议

  针对HideIcon病毒,猎豹安全大师和集成安天AVL移动反病毒引擎的安全产品已经实现全面查杀。猎豹安全实验室和安天移动安全团队提醒您:

  1、建议从正规应用市场下载应用,不要从不知名网站、论坛、应用市场等非正规渠道下载应用;   2、培养良好的安全意识,使用猎豹安全大师或集成了安天AVL引擎的安全产品进行病毒检测,以更好识别、抵御恶意应用;   3、当手机中莫名出现弹窗广告等异常情况时,请及时使用安全产品扫描手机并对异常软件进行卸载处理。

附录

035

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4728

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

下个软件就能免费充Q币?知道真相的我眼泪掉下来…

  王者荣耀作为时下热门手游火遍了大江南北,朋友见面来一局,不可避免的要“开黑”、“上钻石”,而“开黑”前再搭配一款“狂拽酷炫”的英雄皮肤,一身精致look(装扮)外加属性加成在手,打怪升级自然嗖嗖的!

  然而游戏中英雄皮肤的价格并不便宜,对于许多学生玩家来说更是一笔不小的花销。当你为皮肤的价格烦恼时,收到消息说可以免费刷Q币,你会不会动心呢?1-1

消息截图

手把手“刷币”教程,“500Q币”如探囊取物

  上图中,朋友的消息里附带了免费刷Q币的直播地址,页面中包含一段视频和两个应用下载链接。2-2

“刷币”教程页面

  视频详细介绍了如何下载“腾讯内部充值”应用并通过推广链接赚取积分来刷Q币, 整个流程非常简单,如下所示:3

“刷币”流程

  视频中演示者在按照上述流程进行操作后,短短几分钟内通过这个应用刷了500个Q币,按这个速度购买王者荣耀全皮肤指日可待! 4_副本

“刷币”视频教程演示截图

你以为Q币这就到手了?骗局才刚刚开始…

  用户如果按照视频教程操作,下载应用并在各大社交群推广“免费充Q币”的消息,会发现怎么也无法如视频所演示的那样成功充值Q币。难道视频里的“童话故事”都是骗人的?当用户正因此而苦恼时,可能会注意到应用界面左下角出现了一个陌生按钮–“购买VIP版”,此时恶意开发者开始露出了獠牙…… 5-5

含有“购买VIP版”按钮的“腾讯内部充值“应用界面

  点击“购买VIP版”按钮后,出现的界面中包含一个VIP购买教程视频和两个支付选项,视频中向用户详细介绍了购买VIP的原因以及购买VIP的方式,当点击两个支付选项点击后,页面跳转到对应的转账界面。

  然而我们对该应用的代码进行分析发现,该应用完全没有充值Q币的功能。即使用户扫码转账购买了VIP版,也无法充值Q币,该应用属于一个诈骗病毒!

  至此,恶意开发者经过一系列铺排:前期通过所谓的“刷币”视频吸引用户下载应用,后续进一步引导用户付费购买VIP版,最终达到了诈骗钱财的目的。6_副本

VIP购买界面及转账界面

低龄学生群体成为此类病毒的主要目标

  值得一提的是,在VIP购买教程中演示者详细介绍了如何进行扫码支付,并提示用户可以通过亲友的手机扫码代付,可以看出该病毒的攻击目标主要是缺乏一定辨别力和支付能力的中小学生。

  通过该应用相关特征我们找到同类的其他应用,其中部分应用名称及图标如下。我们发现此类诈骗病毒往往伪装成热门游戏工具,借用免费刷Q币、游戏插件的“噱头”欺骗用户进行相关支付,并且通过诱导用户在社交群中推广传播诈骗信息从而进一步扩大诈骗范围。而低龄学生群体由于其年纪尚小、缺乏自制力和辨别力,成为此类病毒的主要攻击目标。7

部分同类诈骗应用

总结

  该病毒以积分的名义诱导用户在社交群中传播恶意链接,手段极其狡猾。此外,整个下载、支付过程都有视频教程“手把手”指导,即使对于不熟悉手机支付操作的低龄学生群体也能完成购买操作,“服务”可谓十分周到。

  通过免费充Q币诱导用户下载、付费的诈骗手段早在PC时代就司空见惯,许多用户对这类诈骗手段产生了“抗体”,但是对于部分低龄学生群体来说,出于对热门游戏和道具的热衷,此类诈骗病毒依然具有较强的“杀伤力”。

安全建议

  针对以上诈骗病毒,集成AVL移动反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:

1、尽量从正规应用市场下载应用,不要在不知名网站、论坛、应用市场下载应用;
2、培养良好的安全意识,定期对手机进行安全扫描;
3、低龄学生家长需要加强孩子的安全教育和防骗意识,防止孩子陷入诈骗陷阱;
4、建议家长在手机支付应用中设置应用锁,防止小孩在借用手机的过程中贸然进行支付操作,造成财产损失。

附录

MD5:
2FA9B50CC95AD9C5FFE52DF59B8027E8
6FA4271417C8295B7344FCC185D14193
B4AB4B1C1672653F0204C01C5A7A19C5
CE5DA0B833E44E35E1B8860A3C789D79
03D88DA48E6A5A0A5E245EAD0E890091
BC4450B89B3DC2785BEB15F4E50E920E
3DA6A48270CF514A7621BB7A08EF3D84

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4685

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

安天移动安全关于“Dvmap”安卓恶意软件分析报告

一、分析背景

  2017年6月8日下午,国际知名反病毒厂商卡巴斯基(Kaspersky)发布名为《Dvmap: the first Android malware with code injection》(《Dvmap:第一种具备代码注入能力的安卓恶意软件》)的分析报告。由于该报告所涉及恶意样本为第一种对Android系统平台运行库进行恶意代码注入的恶意软件,且在报告中提及该恶意软件所包含的“.root_sh”脚本文件中存在中文注释,这引起安天移动安全分析团队高度重视,当即组织专业人员对该报告中所涉及恶意软件样本进行紧急分析。

二、分析内容

  基于国际领先的恶意样本静态分析与动态养殖技术能力,以及强大的移动安全大数据能力,安天移动安全团队对卡巴斯基原报告的解读以及此次恶意软件时间的分析分成移动恶意样本分析与移动威胁情报分析两个方向同时进行。

2.1 移动恶意样本分析

2.1.1 恶意样本植入基本信息分析

1

2.1.2 恶意样本分析

  恶意样本文件com.colourblock.flood.apk伪装为一个小游戏,运行界面如下图:2

  该apk本身并不显性表现恶意代码与行为,但会根据植入终端系统版本、cpu类型等信息解密其内嵌的恶意文件“Game*.res”。其代码如下: 3

  这批内嵌恶意文件作用如下:4

  代码解密后会在/data/data/com.colourblock.flood/TestCache/路径释放恶意程序 ,其代码如下:少的那张_副本

  最终释放的文件如下图(32位与64位文件结构基本一致):5-15-2

  解密后分析恶意文件信息汇总如下:6

  中间文件汇总信息如下表: 7

  com.qualcmm.timeservices.apk为最终被植入的远控恶意载荷apk,从命名上分析,该恶意载荷试图伪装为高通的时间服务程序,其主要作用为与远控服务器通信并执行远控任务。

  通信服务器url通过拼接而成,访问url如下: http://d3pritf0m3bku5.cloudfront.net/android/event.php?id=%s&xc=%s&rtsid=%s&v=2&type=2&tm=%d TimeServices与服务器通信会执行远控任务、下载文件并执行,但服务器已失活无法获取到下载的文件。8

  与服务器通信后在/data/data/com.qualcmm.timeservices/shared_prefs/TaskList.xml生成任务列表。

2.1.2.1 提权文件部分分析

  “.root.sh”脚本用于执行提权,并最终植入远控恶意子包载荷,其中文部分主要位于脚本开头的注释,并不直接提供恶意软件功能。9

  脚本最后完成安装后,进一步执行恶意远控子包com.qualcmm.timeservices ,代码如下图: 10

  另外,还应注意到在恶意样本的多个bin文件里均出现“kinguser.apk”信息,可以推测该恶意样本使用了中国开发者所开发的kingroot工具的exp程序用于提权。信息示例如下图所示:11

2.1.2.2 恶意载荷部分分析

  入口程序start,获取设备信息,会根据不同系统版本选择植入恶意代码到系统/system/lib/libandroid_runtime.so的nativeForkAndSpecialize方法(Android>=5.0),或/system/lib/libdvm.so的_Z30dvmHeapSourceStartupBeforeForkv方法(Android>=4.4),均为与Dalvik和ART运行时环境相关的运行库。1213

  同时会用myip替换原始的/system/bin/ip,并替换/system/build.pro文件。 14

  要注意到,myip程序无原始ip文件功能,其作用主要用于修改恶意程序的策略等信息,设置com.qualcmm.timeservices.apk应用为设备管理器。1516

  另外,还发现该恶意代码开发者有一定的反侦察自我保护能力,对恶意样本实施了部分保护措施,如隐匿apk生成时间, 在生成apk时修改系统本地时间,导致解包apk文件获取到的生成时间为1979年。17

但通过解压toy这个gzip包,仍然可以获取到postroot.sh的真实制作时间为2017/4/18,进而为后续的移动威胁情报分析提供必要的真实数据依据。18

2.2 移动威胁情报分析

  根据卡巴斯基原报告所述,该恶意软件伪装成名为“colourblock”的解密游戏于Google Play进行发布下载。19

恶意软件Google Play发布页面

  由于该恶意软件colourblock自3月下旬起,采用了在同一天内交替上传该软件的恶意版本与无害版本、借以绕过Google Play对其进行安全性检查的方式,导致其一直利用Google Play市场进行分发。借由此种方法多次上传其恶意版本及对其恶意载荷的加密处理,自3月下旬起至被卡巴斯基公司举报下架为止,该恶意软件已被累积下载超过50000次。

2.2.1 恶意样本数量种类分析

  安天移动安全团队利用其自有的AVL Insight 2.0移动威胁情报平台,通过移动安全大数据对该恶意软件进行软件包名、开发者证书及样本hash值等多维度查询分析,发现该恶意软件样本版本与种类远大于卡巴斯基原报告中所提供的2种,而多达49种之多,即说明该恶意软件交替上传恶意与无害版本至Google Play的行为时间跨度更大、频率更高。20

部分恶意软件样本hash值

2.2.2 恶意样本植入终端数据分析

  根据AVL Insight 2.0终端安全检测数据分析,该恶意软件自其开发者证书生效当日即开始传播,并在较集中时间内完成早期第一次植入活动。21

部分恶意样本早期植入终端数据

  如上图所示,可以看出在AVL Insight移动威胁情报数据来源范围内,该恶意样本的早期第一次植入终端所在地域主要分布于印度尼西亚与印度。

  而从该恶意软件初次上传到Google Play起截至今日,AVL Insight移动威胁情报平台所捕获被成功植入恶意样本的965台终端中,分布于印度尼西亚与印度的数量分别为220台与128台,占比分别为22.79%与13.26%,排第三的为加拿大,其被植入恶意样本的终端数量仅为48台,印度尼西亚区域内被植入恶意样本的终端数量在统计范围中占明显优势。

2.2.3 恶意样本载荷植入终端数据分析

  根据对4种恶意样本的抽样静态与动态分析(分析报告见上节),发现该恶意样本的加密部分内含伪装成高通应用的远程控制程序com.qualcmm.timeservices,对该远程控制程序植入终端数据分析结果如下:22

载荷植入终端早期数据

  如上图所示,恶意样本载荷的样本数据初次采集时间为4月19日,植入终端所在位置为德国,但经深度分析后发现该样本运行环境为Remix OS For PC安卓模拟器,且其实际连入互联网方式为使用安全公司Avira的德国VPN服务器,因此具备较大的病毒测试设备嫌疑。由此可见,载荷植入终端早期数据中的第一台终端所在位置,有较大几率处于印度尼西亚。

  同样对该载荷初次被捕获起截至今日的植入终端数据进行整体分析,AVL Insight移动威胁情报平台所捕获被成功植入恶意样本载荷的221台移动终端中,分布于印度尼西亚的数量为50台,印度的数量为20台排名第二,分别占22.62%与9.04%,印度尼西亚区域内被植入恶意载荷的比例显著最高。

2.2.4 威胁情报TTP分析

  根据对恶意样本colourblock的Google Play市场缓存及全球其他分发来源的页面留存信息,得到Retgumhoap Kanumep为该恶意样本声明的作者姓名,但通过全网搜索与大数据碰撞比对,并不存在以该姓名发布的其他软件与该姓名相关的任何网络信息。

  通过对该姓名Retgumhoap Kanumep的解读分析,发现将其姓“Kanumep”各字母从右至左逆序排列则为Pemunak,即印度尼西亚语“软件”之意:23

Google翻译截图

  而对其名字“Retgumhoap”进行分词为“Retg-umhoap”,由于“retg-”前缀为“return(返回)”之意,故尝试将“umhoap”字母排列逆时针转动180度,得到如下结果:24

  对单词“deoywn”进行全网搜索可知,曾有机器人程序使用邮箱 bkueunclpa@deoywn.com在大量互联网站留言板页面自动发布留言:25

使用可疑邮箱填写的留言板搜索结果

  对该邮箱ID “bkueunclpa”进行语言识别,得知其为印度尼西亚方言:26

Google翻译截图

  根据上节所述,恶意样本载荷向位于亚马逊云的页面接口回传数据,该页面接口(已被关闭)如下: http://d3pritf0m3bku5.cloudfront.net/android/event.php?tc=%s&rc=%s&xc=%s&rtsid=%s&v=2&type=1&tm=%d 根据域名“d3pritf0m3bku5”分析,即“de pritfomebkus”,尝试用Google翻译识别其语种,仍为印度尼西亚方言:27

Google翻译截图

三、分析结论

  根据上节分析内容,可以初步认为在卡巴斯基原分析报告中专门提及的中文代码注释问题,应只是该恶意软件编写者直接使用了中国开发者编写的Kingroot脚本,而非直接与中国恶意软件开发者产生明显联系。

  而通过恶意样本及开发者信息的语言特征判断,该恶意软件有较大几率与印度尼西亚开发者存在直接关系;另外,由于该恶意软件并没有在任何社交网站进行推广的网络记录,仅通过应用市场分发,因此其早期推广与分发行为,较大几率由恶意软件开发者就近在自身网络社交范围内通过其他手段进行,结合该恶意软件在早期植入的移动终端地域分布情况和整体总量植入移动终端地域分布情况,可以认为印度尼西亚有较大可能是该恶意软件的开发者所在地和主要受害者集中地域。

  需要明确指出的是,由于远控服务器已被关停,恶意样本载荷不存在明显网络行为,开发者自我保护意识极强,以上现状都成为对恶意软件开发者溯源问题上的障碍,需要随着新的情报数据与样本信息的不断完善才能得到较为准确的结论。

  但无论如何,这种在安卓平台上第一次出现的针对系统运行库进行恶意代码注入的恶意样本攻击方式,都值得高度重视。相信在可见的将来,会有更多利用类似系统漏洞进行木马植入的移动恶意样本出现,需要高度警惕和预防。

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4643

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码