背景:根据中国互联网络信息中心(CNNIC)第45次发布《中国互联网络发展状况统计报告》显示,截止今年3月,我国网民规模达9.04亿,不法分子利用网络直播平台传播淫秽色情信息非法牟利现象屡见不鲜,国家六部门联合下发《关于加强网络直播服务管理工作的通知》,恒安嘉新暗影安全实验室针对此类问题,成立了移动互联网“黄赌骗”专题研究小组,持续针对“黄赌骗”黑色产业链进行研究,在国家互联网应急中心发布的《中国移动互联网安全报告(2019)》中,发表了移动互联网“黄赌骗”黑色产业专题研究报告。
近日,恒安嘉新暗影安全实验室接到用户投诉,一款名为“玖色直播”的应用程序涉及“黄赌骗”行为,安全研究人员第一时间进行了研究分析,发现该应用是一款直播软件,内容以色情为主,还包含网络赌博,网络私彩、在线小说(色情)等,同时,利用该软件进行招聘网络主播。本文主要是针对“玖色直播”的传播方式、盈利模式,溯源分析,情报挖掘等方面进行披露,以免更多网民上当受骗。
图1应用安装图标
1.样本基本信息
| 项目 | 描述 | ||
| APP名称及版本 | 玖色直播_1.1.2 | ||
| 应用包名 | com.jiuse.live | ||
| 文件大小 | 47.05 MB | ||
| 文件md5 | 692958B256747DA6C6338769C7A9B19D | ||
| 签名信息 | CN=jiuseliveapp,OU=jiuseliveapp,O=jiuseliveapp,L=jiuseliveapp,ST=jiuseliveapp,C=jiuseliveapp | ||
| 检测时间 | 20200513 | ||
| 下载链接 | http://jius********p.oss-cn-hangzhou.aliyuncs.com/20200516/jiuse_live_g4_v1.2.2_g4Release.apk | ||
| 样本行为描述 | 该应用运行后直播色情影片、并含有赌博性质的游戏、网络私彩等内容诱导用户充值,具有流氓行为。同时利用该软件招聘网络主播(应为色情直播,目前直播功能暂未开放,APP内公告称6月25号开放)。 |
2.应用的传播方式、盈利模式
在测试样本内容时,我们发现应用本身包含“发展下级代理”的功能,即除了软件本身利用网络传播外,软件使用者作为另一传播源向下传播,一传十,十传百,如下图所示:
图2 应用传播方
根据测试发现此直播软件的盈利模式很清晰,与主播分成,代理分成,网络赌博、网络私彩以及用户送给主播的礼物道具等都需要充值购买。
图3应用盈利模式
3.溯源关系逻辑图
图4 应用溯源关系逻辑图
4.基于情报线索挖掘系统拓展
4.1服务器交互信息
4.1.1主控地址
对该应用进行抓包分析,发现可疑度较大的url如下:
http://bj******as.com/Client/UserOperation。
图5 主控1
经过对该域名的备案信息、whois信息查询后发现,此域名未备案,whois无有效注册者信息。IP地址经查询,该域名共对应了7个IP地址,物理地址分别在香港、台湾以及韩国。
图6 主控1对应IP
IP地址列表:
| bj******as.com | 27.******.35 | 韩国 首尔daou网络 | |||
| bj******as.com | 203.******.71 | 香港 udomain公司 | |||
| bj******as.com | 203.******.75 | 香港 udomain公司 | |||
| bj******as.com | 27.******.167 | 韩国 首尔daou网络 | |||
| bj******as.com | 27.******.77 | 韩国 首尔daou网络 | |||
| bj******as.com | 219.******.161 | 台湾省台北市 so-net公司 | |||
| bj******as.com | 203.******.27 | 香港 udomain公司 |
- http://imapp.******.com:8888/
- 通过上述的http://bj******as.com/Client/UserOperation,返回的信息发现,其跳转到了http://imapp.******.com:8888/。
图7 主控2
查询该域名的备案信息,自动过滤到二级域名后:******.com,得到网站备案人“*彬林”,通过网络搜索后未查询到与此人相关联信息。
图8 主控2备案信息
IP查询:通过查询,此域名仅有一个对应IP
IP地址:183.******.145
物理地址:浙江省嘉兴市电信
图9 主控2对应IP
4.1.2软件功能交互地址
通过对软件功能的抓包分析,可溯源到部分地址信息如下:
开心棋牌
https://dfqdvip2.******.com/manifest.json?v=0.19072484366816922
图10“开心棋牌”对应链接
通过域名备案查询,其所有者为“长沙**电子商务有限公司”。
图11“开心棋牌”对应域名备案
该企业还注册了其他3个域名www.ky****.com、www.ky****.com、www.ky****.com。
图12 企业相关域名
查询该企业信息,该公司法人“*涛”。
图13 备案企业信息
通过天眼查,获得以下信息:
图14 备案企业“天眼查”信息
| 企业名称 | 长沙**电子商务有限公司 | ||
| 法人及成员 | *涛、*作汇 | ||
| 公司网址 | www.ky****.com | ||
| 联系电话 | 177****3149(中国电信,辽宁铁岭) | ||
| 公司地址 | 长沙市开**********商贸城20栋3、4楼 | ||
| 经营范围 | 电子产品互联网销售;农产品、文化艺术品、古玩、玉器、珠宝、邮票、钱币收藏品互联网销售。(依法须经批准的项目,经相关部门批准后方可开展经营活动) |
对该企业预留的手机号码查询后显示该手机号归属地为辽宁铁岭,系企业留存,修改需上传营业执照、法人身份证等信息,未查询到同手机号的微信和支付宝账号。
图15 预留手机号
免费色情小说
http://m2.*****.ltd/?access-token=cfa6ETs-ZncwfywIDyRYXClrMFJpNl5CKAs8bhRoAG5FOxJ7Rh1cb3YFSko。
图16“色情小说”对应链接
域名备案信息查询,自动过滤到2级域名****.ltd,域名拥有者为*稀祥,最新注册者为chenlin。
图17 域名备案信息
图18 域名注册信息
通过搜索网站所有人“*稀祥”,发现其注册的另外两个域名www.******.ltd、www.******.ltd,网站名均为“阿菁的心路历程”
图19 网站所有人其他域名信息
图20网站所有人其他域名信息
发起支付宝支付:
http://pay.*******.org/Home/Pay?id=3&charge_money=101.0&order_number=2005261958024fF0F&user_id=47466&charge_type=2。
图21 发起“支付宝”支付链接
备案查询,未备案,IP地址182.******.110,物理地址:香港simcentric网络公司。
图22 域名对应IP
上述链接在连接后会转到下方的链接:
https://cwww.******.cn/pay/receivables?order=3a9c8e4049f34083bf3d942c54d3a03e。
图23 支付跳转链接
IP地址124.******.1,物理地址:湖南省长沙市电信idc机房。
图24 跳转链接对应IP
cwww.******.cn备案信息如下:
图25 域名备案信息
该企业还注册了以下3个域名www.******.cn、www.*******.cn、www.*******.cn。
图26 企业其他域名信息
通过天眼查,查询该企业信息。
图27 备案企业“天眼查”信息
图28 备案企业“天眼查”信息
| 企业名称 | 长春市****科技有限公司 | ||
| 法人及成员 | *超、*富健 | ||
| 公司网址 | www.*******.cn | ||
| 联系电话 | 157****5100(吉林 长春 中国移动) | ||
| 公司地址 | 吉林省长春市************【幢】2102号房 | ||
| 经营范围 | 网络技术推广、网络技术咨询、网络技术开发、网络维护及咨询服务;网络信息服务;企业形象策划;企业管理咨询;组织文化艺术交流;会务服务;房产中介服务;物联网技术研发、推广、咨询;承办展览展示;工艺品设计、制作;代理、发布广告;网络及平台建设、网络软件开发、电子产品开发与售后服务,电子产品、文化用品批发及零售;商务信息咨询,计算机软硬件开发与销售,手机APP程序开发,网站设计与开发,平面设计,通讯工程(依法须经批准的项目,经相关部门批准后方可开展经营活动) |
157****5100该手机号可搜索到同号微信、支付宝账号,通过支付宝账号可知此手机号属于“*超”。
图29 手机号对应微信、支付宝信息
4.1.3客服交互地址
通过对客服功能抓包分析,确认其使用的是**云客服系统:
https://pubcon.******.com/config_22874.json
https://22874.******.ink/chat.html
图30 客服域名备案信息
图31 客服域名备案信息
该客服企业简介:
****网络科技有限公司成立于2017年,自主研发基于SaaS模式的云客服系统,注册即可开通使用,用于企业与顾客进行在线对话沟通,能够帮助企业客服团队更好的协作和管理,同时为企业的顾客提供更便捷的对话渠道和优雅的对话体验,让企业更好的服务顾客。
图32 客服官网介绍
5.支付溯源
该直播软件的充值支付系统大致分为三种,银行转账、支付宝,微信支付。
图33 充值支付方式
(一)银行卡支付:
银行转账,只能选择转到农业银行,且收款人仅有“*春华”一人。
图34 银行转账
| 姓名 | 银行 | 卡号 | |||
| *春华 | 中国农业银行 | 6228***********3674 |
(二)微信支付:
微信发起的支付有两种选择,一是微信转到银行卡,二是微信收款码付款,当前微信收款码付款支付功能显示“所在地区无收款码”。
图35 微信支付方式一
选择微信转到银行卡,弹出一个二维码页面,此二维码不要求扫描,提示“点击”操作。
图36 微信支付方式二
测试发起微信转到银行卡点击二维码支付操作,多次出现如下几个银行卡号。
图37微信支付收款人及卡号一
图38 微信支付收款人及卡号二
| *明聪 | 6230***********7851 | 浙江省农村信用社联合社 | |||
| *亮 | 6225********6968 | 上海浦东发展银行 | |||
| *亮 | 6217***********2620 | 中国邮政储蓄银行 | |||
| *亮 | 6230***********0350 | 厦门银行 | |||
| *亮 | 6230***********2615 | 平安银行 | |||
| *进旺 | 6231***********2552 | 广西省农村信用社 | |||
| *艳萍 | 6217***********5018 | 中国邮政储蓄银行 |
其中名为“*亮”的银行卡涉及多个银行,出现4个不同银行的银行卡号。
注:收款人、银行卡号随机生成,无法保证在测试中全部获取
(三)支付宝支付:
支付宝发起的支付可选择直接跳转到支付宝支付,也可以根据出现的收款人和收款账号支付。
1.跳转到支付宝支付,只显示收款人姓名,不显示卡号。
图39 支付宝内支付
2.发起支付宝支付时出现的收款人姓名及收款账号。
图40 支付宝收款人及卡号一
图41 支付宝收款人及卡号二
图42 支付宝收款人及卡号三
图43 支付宝收款人及卡号四
图44 支付宝收款人及卡号五
| 姓名 | 卡号 | 银行 | |||
| *添荣 | 6226********7141 | 民生银行 | |||
| *永军 | 6217***********8912 | 中国建设银行 | |||
| *文昊 | 6212***********7902 | 中国工商银行 | |||
| *龙杰 | 6216***********9410 | 中国银行 | |||
| *晓云 | 6228***********9973 | 中国农业银行 | |||
| *永军 | 6221***********4740 | 中国邮政储蓄银行 | |||
| *卫星 | 6216***********9386 | 中国银行 | |||
| *润娥 | 6216***********9682 | 中国银行 | |||
| *志鹏 | 6217***********5884 | 中国银行 | |||
| *海斌 | 6226********0797 | 中国民生银行 | |||
| *俊斌 | 6217********8856 | 中信银行 | |||
| *朝安 | 6222***********3967 | 交通银行 | |||
| *飞 | 6217***********4790 | 中国银行 | |||
| *伟 | 6214***********3000 | 广发银行 |
其中“*永军”出现了两次,包含两个银行卡号
注:收款人、银行卡号随机生成,无法保证在测试中全部获取
6.传播渠道溯源
本软件通过恒安嘉新暗影安全实验室的用户投诉获取,在测试过程中,发现多个软件下载入口,分别如下:
图45 客服系统默认消息
| 1 | 456***.com ~ 456***.com | ||
| 2 | http://ji********.vip/ | ||
| 3 | http://ji********.net/ | ||
| 4 | http://ji********.com/ | ||
| 5 | http://ji********.org/ |
域名IP归属地查询,物理地址均在香港。
| 域名/IP | 数字地址 | IP的物理位置 | |||
| ji********.org | 3414661959 | 香港 UDomain公司 | |||
| 3414661963 | 香港 UDomain公司 | ||||
| ji********.net | 3414661963 | 香港 UDomain公司 | |||
| 3414661959 | 香港 UDomain公司 | ||||
| ji********.vip | 3414661959 | 香港 UDomain公司 | |||
| 3414661963 | 香港 UDomain公司 | ||||
| ji********.com | 3414661959 | 香港 UDomain公司 | |||
| 3414661963 | 香港 UDomain公司 | ||||
| 456***.com | 3414661959 | 香港 UDomain公司 | |||
| 3414661963 | 香港 UDomain公司 |
在访问上述地址后,返回的页面内容均相同,如下图所示:
图46“玖色直播”下载入口
点击快速下载按钮:
图47“玖色直播”软件下载按钮
弹出如下链接:
http://jius********p.oss-cn-hangzhou.aliyuncs.com/20200516/jiuse_live_g4_v1.2.2_g4Release.apk。
此链接经过查询为阿里云服务器:
图48 下载链接备案信息
7.扩展线索
在恒安嘉新的APP全景态势平台对应用进行关联分析,共找到3款同一系列的应用。
图49“玖色直播”同系列应用
应用包名和MD5如下:
| 包名 | MD5 | ||
| com.jiuse.live | 6d39a450cd9750416cfb67f2b9480729 | ||
| com.jiuse.live | b5e03ee10cf41f73433b1e16546f5cbf | ||
| com.jiuse.live | 1ae631f938be06069bb6dcd2c58ff2d0 |