与我们在四月份发表的《窥探裸聊诈骗背后黑色产业链的一角》一文中的APK类似,本次披露的新型诈骗使用的APK本身并没有特别明显的恶意行为,只是作为诈骗过程中的一环,支持双端APP(Android,IOS)。杀软一般不会进行报毒,故一旦安装了这些app,就会落入诱导消费的圈套,最终导致财产的损失。
产业链流程图如下:
近几年社会集中曝光最多的黑产诈骗手法非“杀猪盘”及其衍生品莫属,但是从本质上讲这类诈骗都是通过纯“话术”的方式对受害者进行诱导,非常考验语言的艺术。而从今年以来新型的诈骗方式开始将“话术”与“技术”相结合通过以“话术为主,技术为辅”的设计思想设计出了如新型裸聊诈骗、以及本文要介绍的暗雷、明雷。
其实早在2016年,天眼实验室就曾经披露过在PC端进行支付宝诈骗的案例,由于当时支付宝风控系统不成熟,以及诈骗程序在技术层面容易被杀软查杀,故这类PC端的诈骗并没有流行起来。
而暗雷同样能达到表面支付一元,实际支付1000的效果,主要针对移动端。
中文互联网上已经出现大量的受害者:
诈骗流程大体如下:骗子会针对一个特定的人群定制一款符合该人群需求的app,如色粉所需要的色播app,兼职学生党所需要的兼职平台app,游戏玩家所需要的游戏物品交易app,以及促销购物平台。依据不同的受众使用不同的诱导方式,也可以通过垃圾短信的方式进行传播。
之后“客服”会让你发送你的支付宝花呗额度,这时“客服”实际上会结合你花呗的余额在后台设置暗雷支付金额,发你兼职app。
指导你如何进行操作:
会让你填一段支付宝h5的链接:
虽然在app中显示的支付金额为0元,实际上最终支付的金额为“客服”在后台设置的金额,付款成功后,“客服”会注销链接造成出错的假象。
之后“客服”开始装无辜,让受害者以为是系统的问题,最后不了了之。
文件名
MD5
类型
夜夜约
58cd3e09b0bbbc32d2fd146d55be09a0
APK文件
APK打开后界面如下:
进入直播间后会弹出提示框,一元开通月度会员:
点击按钮后进入网页支付宝支付流程。目前在app调用支付宝支付接口有两种主流方法:
1、调用支付接口唤起支付宝app进行付款。
2、使用网页支付接口进行支付。
由于支付宝app内的风控系统已经非常成熟,所以目前所有的暗雷走的都是网页支付宝通道。
为了完整了解跳转全过程,我们找到了支付宝暗雷的后端源代码。
在后端源代码中可以看到配置企业支付宝的页面。
anlei.php页面如下:
跳转到Url.txt中的网址,实际上就是跳转到支付宝h5地址,对Apk样本进行脱壳后,在被抽取的代码中我们找到了核心的逻辑。
当进入支付流程时,apk会调用WebView修改付款详情页面,将需付款对应的金额改为1.00元,app内的付款详情如下:
如果我们在浏览器访问支付宝h5页面进行付款时就会显示真实的付款金额为9.9元。
真实付款金额是在商户端进行设置并生成H5支付链接后设置到暗雷后台的。后台还支持渠道分发,不同的渠道会分得不同比例的佣金。
目前我们捕获的支付宝暗雷app页面如下:
而明雷和暗雷的区别在于,明雷在付款时会将真实付款的金额显示出来,在这种情况下,能否成功骗钱取决于受害者有没有仔细看付款页面的金额,付款图如下:
后台界面如下:
当受害者扫描二维码或打开链接时会进入pay.php页面:
Jiage变量实际上就是表示虚假的价格,外部传入可以在后台进行修改,点击立即加入后调用pay方法,跳转到zf.php:
在支付页面,会将设置的金额乘以100并发起支付,可以手动设置倍数。
后台中可以创建种类不同的二维码针对不同的群体。
经过调查搭建暗雷台子根据客户需求收费5000-15000不等,免费维护,可以定制化。
在国内电商平台上也能搜到支付宝暗雷售卖的信息。
目前支付宝暗雷主要使用以下两种方法进行资金周转:
1、对接企业支付宝。
2、对接电商平台的商品,通过电商购物的方式将诈骗资金转出。
黑产通过使用企业支付宝现金红包的功能来走流水,由于支付宝默认现金红包属于社交性的,所以并不会触发风控告警,更妖的直接伪装成OTC交易平台,从中进行流水操作。
另一种常用的洗钱手法是,申请电商的代理,入住电商平台成为商家,设置商品类型和价格,受害者的资金会购买这些产品,从而进入正常的电商支付流水。而且这种内部的结算方式不受风控系统的限制,故这种洗钱方式深受黑产青睐。
上述只是支付宝暗雷使用的洗钱方式,如果纵观整个黑产圈所用到的洗钱方法就更多了,这里不展开细说了。
同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。