你还敢看色情视频吗

还记得2007年那个可怕的"熊猫"吗?作者李俊几乎是以一己之力唤醒了人们的安全意识。"熊猫烧香"为李俊赢得了天才的名誉,同时也让他锒铛入狱。处狱以后,李俊似乎销声匿迹了,可是就是这样一个天才,却再次走上了违法的道路,二次进宫,而让他犯法的就是我们今天要说的"小电影"行业。暂时不讨论李俊的熊猫烧香病毒,后续会专门分析。本篇文章不涉及舆论道德、身体健康、法律法律等因素。

概述

面对一些美女快播、美女视频、宅男电影等应用程序,你是否想安装?但可得小心点,这些应用程序不仅涉嫌传播淫秽色情内容,很多程序还被内置恶意代码,通过恶意推广以及诱骗用户支付,导致用户资费损失。此类APP大多来源于管理不规范的应用市场、论坛社区、软件站、网盘等。

病毒运行整体流程

之前大多色情病毒主要是通过广告推广,后台私自向SP号码发送短信订购业务获利,目前已经演变为诱骗用户,通过第三方支付插件支付,从而实现直接获利。软件的演变及流程图:

[图片上传失败...(image-7b435e-1662274586842)]

现状分析

病毒感染量统计分析

根据平台的分析,2014年12月份爆发了大量恶意色情应用,该类病毒的主要行为是直接或者诱导用户进行点击之后,后台向SP号码发送短信进行恶意扣费,同时会植入大量广告应用,后台私自下载推广软件及其他色情软件、创建大量快捷方式诱骗用户安装运行,会造成用户大量的流量消耗。
下图为2016年平台每月色情类病毒的发现量如图:
[图片上传失败...(image-388d67-1662274586842)]

病毒技术原理分析

推广技术

色情软件一般都会内嵌一些广告插件,一旦投放到市场中,依靠其淫秽色情内容吸引点击量,就可以通过广告来赚钱,具体实现一般包含后台下载,或者通过创建桌面快捷方式和匿名弹窗推广。
以平台的“激情片库”为例,病毒运行后,诱导用户安装插件。如图:

[图片上传失败...(image-3283aa-1662274586842)]
释放并加载恶意插件代码:
[图片上传失败...(image-faab0d-1662274586842)]

私自下载

该类病毒主要通过后台获取要推广的产品APP下载地址,之后私自进行下载进行推广,消耗用户手机流量。如图 4-3 所示:
[图片上传失败...(image-69e95f-1662274586842)]

创建快捷方式

病毒后台下载推广软件,并且会私自下载其他色情视频病毒,下载之后会在用户手机桌面上创建大量快捷方式,诱导用户点击安装。如图 :
[图片上传失败...(image-6abf2f-1662274586842)]
[图片上传失败...(image-1337c-1662274586842)]
[图片上传失败...(image-6d213c-1662274586842)]

匿名弹窗推广

病毒会联网下载要推广软的图片,不停的匿名弹窗,用户点击即弹出安装界面,诱导用户安装运行。如图:
[图片上传失败...(image-41d300-1662274586842)]

[图片上传失败...(image-ff9c29-1662274586842)]

支付流程演变

传统扣费方式

这些批量生产的色情APP,都会内嵌一些广告插件,还会私自发送短信,恶意扣费;还有病毒会在私自发送短信的同时,拦截指定短信,从而导致用户手机支付验证短信被窃。

典型的银色魅影木马支付就是通过向SP号码发送短信扣费。病毒运行后,私自联网获取SP号码以及发送内容,并向获取的SP号码发送短信。如图 :

[图片上传失败...(image-1a73ff-1662274586842)]
每次都是小额扣费,但是会发送多次此类扣费短信
[图片上传失败...(image-f9ee56-1662274586842)]

病毒同时会对关键字短信进行拦截,导致用户无法发现扣费情况。例如银色魅影木马就会屏蔽以”10086″”1065″”1066″”118010″”10001888″开头,或内容包含”成功订购”"和视频”"和视界”的短信。如图:
[图片上传失败...(image-99d7a0-1662274586842)]
传统的扣费方式中,其中SP服务商是关键,一般制作人员不具备申请SP业务的资格,所以制作人员只能拿到不多的广告费或者盈利分成。

当前流程扣费方式

随着移动支付业务的兴起,色情软件也随之搭上了移动支付的便车。微信支付、支付宝支付等第三方支付开始成为色情软件支付的主流;同时病毒制作者就可以申请第三方支付插件使用,从而支付之后可以直接受益,因此该类病毒开始更加注重使用第三方支付插件。
以我们手里的“色色看片”为例,病毒运行后弹出相关页面,点击任意视频后直接展现试看内容,试看视频播放完成之后,会弹出窗口,要求用户支付。
支付方式集成了微信、支付宝等现有的主流支付插件,当用户点击支付宝支付或者微信支付时,病毒会发起各自的支付接口进行支付操作。

使用微信支付插件支付代码如下图:
[图片上传失败...(image-c626b1-1662274586842)]
[图片上传失败...(image-822ad7-1662274586842)]

使用支付宝点击确认付款会弹出支付宝的支付界面

[图片上传失败...(image-867781-1662274586842)]
[图片上传失败...(image-472ac4-1662274586842)]

用户付款后一笔交易随即结束,查看此病毒的代码结构可以发现,此病毒集成了四种支付插件,支付宝,微信,威富通,中兴付,而此类支付插件一般以微信支付和支付宝支付为主,暂未发现银联支付或者短信支付的情况,未来不排除可能。如图 :

[图片上传失败...(image-2be1c7-1662274586842)]
此类方式相比SP服务扣费简单高效,可以进行大额支付,而且少了中间SP服务商的环节,增加了病毒制作者或传播者的盈利能力。

黑色产业链分析

历史演变

从最初的SP业务扣费到现在微信支付宝等网络付费,病毒的支付方式在不断前进。

诱骗手法

色情软件一般使用惹火的图标和暧昧的名称诱骗用户下载安装,下图为排名前十的色情软件安装名称占比。如图 5-1所示:

[图片上传失败...(image-7e3730-1662274586842)]

获利方式

如图 5-2所示:
[图片上传失败...(image-e1729d-1662274586842)]

APP 一般都会内嵌广告插件,上传到网络之后,依靠其淫秽色情内容吸引点击量,就可以通过广告来赚钱;同时该类病毒会私自向SP号码发送短信进行恶意扣 或者通过诱导的方式,诱导用户使用微信、支付宝等方式进行扣费来直接获利。

溯源分析

下载地址溯源

对该类软件的下载地址进行统计,其中top12的下载地址出现频次很高。 如图 :

[图片上传失败...(image-5b6401-1662274586842)]
[图片上传失败...(image-5326dd-1662274586842)]
对这些域名信息查询发现有非常多的第三方注册商的注册域名和注册邮箱,过滤有效的信息,得出的主要域名注册人与邮箱的对应关系如下图:
[图片上传失败...(image-aa2e27-1662274586842)]

恶意推广溯源

在上面的”激情片库”中,病毒安装之后会从服务器获取推广软件的下载地址,创建快捷方式,经过代码分析,解密发现推广服务器地址为139...152:8080。如图 :
[图片上传失败...(image-1d916f-1662274586842)]
私自联网获取恶意推广的下载地址等信息:

[图片上传失败...(image-2c5afd-1662274586842)]
查询IP地址发现其租用的是***服务器
[图片上传失败...(image-261296-1662274586842)]

支付溯源

根据微信支付接口和支付宝支付接口的介绍,个人申请支付接口只需要进行实名认证填写相关资料同时上传APP注册成功即可。

以微信为例。如图 :

[图片上传失败...(image-e5b7c3-1662274586842)]
注册开发者账号的时候需要进行实名认证,填写手机号以及身份证号,成功注册账号后进行开发者资质认证;第二步注册APP,填写app相关信息,等待审核。如图 :

[图片上传失败...(image-6e023b-1662274586842)]
申请成功后,微信会发送给申请者一个绑定应用的APPID。如图:

[图片上传失败...(image-747b09-1662274586842)]
一般以”wx”开头,在上面“色色看片”病毒中我们找到了它的APPID。如图 :
[图片上传失败...(image-102444-1662274586842)]
根据此APPID就可以定位到指定商户,这样就锁定了此病毒的收费人员

小结

根据病毒相关信息我们追溯到金米网,金米网是一个域名注册商,其中恶意域名占23.86%,由此可见当前对域名注册商对旗下域名管理不规范,应当强制实行域名注册实名制,从而可以对恶意域名实施监控和追踪,未来病毒变种不断增多,相关溯源结果也会越来越准确;同时对于色情类诱骗支付病毒,目前使用第三方支付插件进行支付,通过分析其申请流程可以发现,开发这需要上传APK,获取插件中的必要字段之后,才能正常使用插件支付,因此第三方支付插件应该对开发者上传的APK进行严格审核。

防范及处置建议

安全从自身做起,建议用户在下载软件时,到针对的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害;

安全需要做到防患于未然,可以使用APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测;

对于收费转账的QQ号码或者微信号码记性追踪治理,从收益环节阻断该类软件对用户侵害。

写在最后

app要从正规的应用商店下载,app要从正规的应用商店下载,app要从正规的应用商店下载。重要的事情说3遍。更多关于Android逆向、安全相关内容,欢迎关注我的公众号:半夏之夜的无情剑客
[图片上传失败...(image-42bcc8-1662274586842)]

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 202,056评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,842评论 2 378
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,938评论 0 335
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,296评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,292评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,413评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,824评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,493评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,686评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,502评论 2 318
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,553评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,281评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,820评论 3 305
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,873评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,109评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,699评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,257评论 2 341

推荐阅读更多精彩内容

  • 用两张图告诉你,为什么你的 App 会卡顿? - Android - 掘金 Cover 有什么料? 从这篇文章中你...
    hw1212阅读 12,677评论 2 59
  • AndroidUtils 收藏工作中常用的android工具类,lib库等...都是非常优秀的库!开发必备神器!!...
    往后余生9375阅读 3,518评论 3 79
  • 本文目录: Web / Application Servers[#heading-1] 负载均衡器: Load B...
    Michael113c阅读 643评论 0 0
  • 万安卓 知识点 OOM 如何避免OOM总结 减小对象内存的占用使用更轻量级的数据结构如使用SplashArray或...
    RichardLee123阅读 239评论 0 0
  • 前言 讲 HTTPS 之前,我们先来回顾一下 HTTP 协议。HTTP 是一种超文本传输协议,它是无状态的、简单快...
    guanguans阅读 298评论 0 2