“邀请码” - 诈骗类应用分析

一、简述

该恶意应用运行后,私自读取用户的联系人和历史短信记录,后台静默上传到C2服务器,造成用户的隐私信息泄露。

二、样本信息

包名:fujinyueai.yes
应用名:附近约爱
文件SHA1:6c96510ba1b27d939dae7bef824312ae08291c2e
版本:8.68
文件大小:460.5 KB

三、恶意行为分析

3.1 运行界面

应用启动后会弹出一个窗口,要求用户填写“邀请码”。通过rg_n20()方法检查验证码是否正确。
入口
在这里插入图片描述 运行界面

3.2 窃取联系人和历史短信

校验用户输入的验证码是否为空,为空则通过Toast提示用户继续输入。不为空时会将邀请码、联系人、历史短信上传到到C2服务器,然后返回一个字符串。上传链接:http:// app.okctv.xyz/app/public/index.php/index/index/js
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
用fiddler抓包,可以看到窃取的联系人和短信
fiddler抓包记录

3.3 邀请码绕过

经过分析,当C2服务器返回的响应信息包含“OJBK”时校验通过校验。
邀请码校验
由于样本来源于网络,我们手上并没有邀请码。可以去Hook rg_wbxl类的rg_n3391()方法,直接返回一个包含“OJBK”的字符串,便可以绕过检测逻辑。

package hook;import android.util.Log;import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage;/*** @author yaorc* @date 2021-04-29 17:19*/
public class HookApp implements IXposedHookLoadPackage {private static final String TAG = "HookApp";@Overridepublic void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) {String packageName = lpparam.packageName;String hookPackageName = "fujinyueai.yes";String hookClassName = "hsh.Java.jb.rg_wbxl";String hookMethodName = "rg_n3391";if (hookPackageName.equals(packageName)) {Log.d(TAG, "handleLoadPackage: 准备Hook应用:" + hookPackageName);XposedBridge.log(" 准备Hook应用:" + hookPackageName);// Hook处理XposedHelpers.findAndHookMethod(hookClassName, lpparam.classLoader, hookMethodName,byte[].class, new XC_MethodHook() {@Overrideprotected void afterHookedMethod(MethodHookParam param) throws Throwable {super.afterHookedMethod(param);param.setResult("OJBK");}});}}
}

激活Hook插件并重启手机,再次打开应用,随便输入邀请码后会弹出带有进度条且不可取消的提示框,后续就没有操作了,所以这个样本的主要目的就是窃取用户的联系人和短信数据,实施下一步诈骗操作。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

反编译apk,通过资源反向搜索,可以得知主界面只是加载了一张图片,令用户误以为app是直播交友类软件,实质上并没有相关功能。
在这里插入图片描述
在这里插入图片描述

四、小结

  • 该恶意应用主要目的是窃取用户的联系人、短信记录,猜测“邀请码”是用于标识用户和统计推广人员的绩效。

  • 结合以往的网络诈骗案例来看,诈骗人员可能会在QQ、论坛等地方散播“交友”信息,引诱用户进行视频裸聊,期间会录制用户的不雅视频。诱导或威胁用户安装需要“邀请码”的APP,窃取用户的联系人后进一步勒索用户,完成整个诈骗流程。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/61338.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

恶意访问、黑产猖獗,如何做好业务安全“守门人”?丨创新场景50

关注ITValue,看企业级最新鲜、最价值报道! 数字化就是创新场景的叠加,钛媒体将推出「创新场景50」系列经典实例,遴选全行业优先应用案例,用通俗易懂的语言针对数字化创新实例进行解读汇总。后续将积累内容产品化&#…

解密加密的直播地址

现在国内除了斗鱼,熊猫等大的直播平台以外,还有很多的小平台,小平台技术有限,今天拿一个app示例 一般未加密的直播地址,直接用fidder就可以抓取到地址,但一些安全性较高的返回的地址是经过加密的,今天就来解密下某直播(你懂得)的地址(这个平台早gg了). 下面就是返回的直播地址…

互联网平台黑产解密(上)

互联网平台黑产解密(上) 这是一个最好的时代。互联网如此普及,市场有无限可能,大量的创业公司崛起,生活服务无不能连接到互联网,让人有了更多想象。 这也是最坏的时代。伴随着新型业务的出现和增长,黑色产业(以下简称黑…

直播带货app源码,进行直播平台的环境部署

直播项目环境部署 最近总是接到直播带货app源码的开发,在环境部署的过程中踩了不少坑。现在我将环境部署的完整教程分享给大家。 一 、搭建前期准备 注:操作系统centos7.0以上 64位,直播带货app源码服务器是否需要添加域名白名单(…

社群编码识别黑灰产攻击实践

导读:所谓黑灰产,包含网络黑产、灰产两条产业链,随着互联网的飞速发展,网络黑灰产也在不断演变,当前网络黑灰产已经趋于平台化、专业化、精细化运作。基于黑灰产攻击特点,我们提出了一种基于社群编码的黑灰…

直播鉴黄?直播商城开发是如何实现的

截图鉴黄配置的方式有哪些? 直播商城开发最重要的一步,就是实现直播鉴黄的功能,那么接下来就和我一起看看直播鉴黄是如何实现的吧。 方式:1,通过API设置;2,在【控制台】【功能模板】进行配置。…

超千人围观,普及 “反诈” 常见场景及应对手段,还有黑灰产攻防手段

10 月 26 日,由软件绿色联盟举办的 “反诈” 主题直播活动已圆满落幕。本次直播我们特邀了两位 360 的资深技术专家,对《电信网络诈骗趋势解读与应对》、《黑灰产攻防手段及关联产业链》两大议题进行了精彩分享。本次直播吸引了 1000 名线上观众观看&am…

记一次财经直播系统渗透

1、网站搜索关键词: 牛昆财经直播系统 牛昆喊单直播系统 牛昆微交易系统开发 2、sql注入漏洞 下载源代码进行分析,对站点进行本地搭建,测试sql注入点如下: 位置: sys\updsd.php 参数: $_GET[id] sql注入POC: ?…

值得收藏!教你如何在火星直播中使用分享码

火星直播是一个极其简洁又好用的电视直播软件,拥有我平时经常会收看到的中央电视台、湖南卫视、浙江卫视等海量频道。界面、操作简单便捷,还能使用它的分享码功能,看到一些有趣的海外电视直播频道。今天我就给大家推荐火星直播这款应用&#…

直播电商开发,源码无加密

随着直播电商的流行,很多企业开始使用商场电商直播系统,该企业使用电商直播系统的优势具体体现在哪里?下面由零七科技小编为您总结企业电商直播系统的优点。 使用电商直播系统的优点: 1、全面展示商品风格和效果。 与在线平台…

智能钱包系列新一期来了!解读 Devcon VI:Ambire 的创始人为大家带来重要信息!

Twitter Spaces 特别版:为大家带来波哥大这一周的见闻和故事! Ambire 的家人们,你们好!🙌 我们从 Devcon VI 回来了,这真的是一次精彩的行程!💥,不仅收获了大量的乐趣&am…

如何抓住用户痛点进行短视频文案创作?三个小方法可运用

如何抓住用户痛点进行短视频文案创作?三个小方法可运用 众所周知,短视频的文案创作,其实也是需要抓住用户痛点的,而只要能够做到这一点,吸引用户其实就非常简单了。所谓抓住用户痛点,简单点来说就是知道用…

短视频运营创作方案教程

在了解新媒体短视频运营之前,先介绍一下新媒体短视频运营的概念。事实上,我们大多数人都认为,新媒体短视频运营的目的是在短时间以视频的形式完成可传播的视频内容。。例如,新媒体短视频运营可以发布15秒或一分钟。新媒体短视频运…

C罗和梅西谁在西甲和欧冠中表现更佳?

C罗和梅西是当今球坛的两大超级球星,分别效力于皇家马德里(C罗现效力于尤文图斯)和巴塞罗那足球俱乐部。下面的数据可视化展现了两位球星效力于西班牙足球甲级联赛时的进球数和助攻数的对比(2009-2018)。 Cristiano Ro…

【博球一看,记录疯狂】卡塔尔世界杯四强诞生,谁是你心中的冠军得主?

感想 前段时间出于工作的原因,一直没来得及去看今年的卡塔尔世界杯,如今,世界杯马上即将迎来结束,这几天大概看了几场我比较关注的球队的比赛,今天一起带大家期待一下四强之后世界杯会发生什么事情! 阿根…

足球世界中最明亮的一颗星——C罗

一.C罗简介 克里斯蒂亚诺罗纳尔多(Cristiano Ronaldo),1985年2月5日出生于葡萄牙马德拉岛丰沙尔,葡萄牙足球运动员,司职边锋/中锋,简称C罗,效力于西甲皇家马德里足球俱乐部,并身兼葡…

你期待c罗在本周欧冠中有什么表现呢?

北京时间2月18日凌晨4点,意甲豪门尤文图斯将在欧冠1/8决赛首回合率先客场挑战波尔图,央视5套将对本场比赛进行现场直播。 本场比赛最大的看点就是两位前皇马球员的直接对话:佩佩vsC罗,这也是两位葡萄牙国家队队友之间的较量。赛前…

C语言代码实现卡塔尔世界杯球员管理系统

一、需要实现的功能 1、球员录入:可以将球员的相关信息录入系统,如球员姓名、国家,进球数等。 2、球员信息存储 :对于录入的球员信息,可以保存至文件中。 3、球员信息读取:可以实现将文件中的球员信息输…

c罗说什么语言,C罗会说几种语言? 揭金球奖给梅西内马尔当翻译趣事

“本文系十点十四授权尚之潮网独家发布,未经允许不得转载,如需转载请联系作者支付稿酬,违者将追究法律责任” 随着C罗在点球大战中罚进制胜一球,皇家马德里俱乐部成为2015-2016赛季的欧冠冠军,这是俱乐部历史上第11次捧…

【搜索】:罗纳尔多和C罗是一个人吗?

1.开题 最近在学习基于知识图谱的搜索相关知识,发现两个有趣的问题: 1.1. 搜索罗纳尔多,不同的搜索引擎给出的知识卡片不尽相同: 1.1.1 google: 会有一个知识卡片专门展示google的知识图谱搜索结果。 为什么说这个知识卡片是…