玖色直播安全情報報告
根據中國互聯網絡信息中心(CNNIC)第45次發佈《中國互聯網絡發展狀況統計報告》顯示,截止今年3月,我國網民規模達9.04億,不法分子利用網絡直播平臺傳播淫穢色情信息非法牟利現象屢見不鮮,國家六部門聯合下發《關於加強網絡直播服務管理工作的通知》,恆安嘉新暗影安全實驗室針對此類問題,成立了移動互聯網“黃賭騙”專題研究小組,持續針對“黃賭騙”黑色產業鏈進行研究,在國家互聯網應急中心發佈的《中國移動互聯網安全報告(2019)》中,發表了移動互聯網“黃賭騙”黑色產業專題研究報告。
近日,恆安嘉新暗影安全實驗室接到用戶投訴,一款名爲“玖色直播”的應用程序涉及“黃賭騙”行爲,安全研究人員第一時間進行了研究分析,發現該應用是一款直播軟件,內容以色情爲主,還包含網絡賭博,網絡私彩、在線小說(色情)等,同時,利用該軟件進行招聘網絡主播。本文主要是針對“玖色直播”的傳播方式、盈利模式,溯源分析,情報挖掘等方面進行披露,以免更多網民上當受騙。
圖1應用安裝圖標
一、樣本基本信息
|
項目 |
描述 |
|---|---|
|
APP名稱及版本 |
玖色直播_1.1.2 |
|
應用包名 |
com.jiuse.live |
|
文件大小 |
47.05 MB |
|
文件md5 |
692958B256747DA6C6338769C7A9B19D |
|
簽名信息 |
CN=jiuseliveapp,OU=jiuseliveapp,O=jiuseliveapp,L=jiuseliveapp,ST=jiuseliveapp,C=jiuseliveapp |
|
檢測時間 |
20200513 |
|
下載鏈接 |
http://jius
********p.oss-cn-hangzhou.aliyuncs.com/20200516/jiuse_live_g4_v1.2.2_g4Release.apk |
|
樣本行爲描述 |
該應用運行後直播色情影片、並含有賭博性質的遊戲、網絡私彩等內容誘導用戶充值,具有流氓行爲。同時利用該軟件招聘網絡主播(應爲色情直播,目前直播功能暫未開放,APP內公告稱6月25號開放)。 |
二、應用的傳播方式、盈利模式
在測試樣本內容時,我們發現應用本身包含“發展下級代理”的功能,即除了軟件本身利用網絡傳播外,軟件使用者作爲另一傳播源向下傳播,一傳十,十傳百,如下圖所示:
圖2 應用傳播方式
根據測試發現此直播軟件的盈利模式很清晰,與主播分成,代理分成,網絡賭博、網絡私彩以及用戶送給主播的禮物道具等都需要充值購買。
圖3應用盈利模式
三、溯源關係邏輯圖 ![]()
圖4 應用溯源關係邏輯圖
四、基於情報線索挖掘系統拓展
4.1服務器交互信息
4.1.1主控地址
對該應用進行抓包分析,發現可疑度較大的url如下:
http://bj ******as.com/Client/UserOperation。
圖5 主控1
經過對該域名的備案信息、whois信息查詢後發現,此域名未備案,whois無有效註冊者信息。IP地址經查詢,該域名共對應了7個IP地址,物理地址分別在香港、臺灣以及韓國。
圖6 主控1對應IP
IP地址列表:
|
bj******as.com |
27.******.35 |
韓國 首爾daou網絡 |
|---|---|---|
|
bj******as.com |
203.******.71 |
香港 udomain公司 |
|
bj******as.com |
203.******.75 |
香港 udomain公司 |
|
bj******as.com |
27.******.167 |
韓國 首爾daou網絡 |
|
bj******as.com |
27.******.77 |
韓國 首爾daou網絡 |
|
bj******as.com |
219.******.161 |
臺灣省臺北市 so-net公司 |
|
bj******as.com |
203.******.27 |
香港 udomain公司 |
http://imapp. ******.com:8888/:
通過上述的 http://bj ******as.com/Client/UserOperation返回的信息發現,其跳轉到了 http://imapp. ******.com:8888/。
圖7 主控2
查詢該域名的備案信息,自動過濾到二級域名後:******.com,得到網站備案人“*彬林”,通過網絡搜索後未查詢到與此人相關聯信息。
圖8 主控2備案信息
IP查詢:通過查詢,此域名僅有一個對應IP
IP地址:183.******.145
物理地址:浙江省嘉興市電信
圖9 主控2對應IP
4.1.2軟件功能交互地址
通過對軟件功能的抓包分析,可溯源到部分地址信息如下:
開心**:
https://dfqdvip2. ******.com/manifest.json?v=0.19072484366816922
圖10“開心**”對應鏈接
通過域名備案查詢,其所有者爲“長沙**電子商務有限公司”。
圖11“開心**”對應域名備案
該企業還註冊了其他3個域名 www.ky ****.com、 www.ky ****.com、 www.ky ****.com。
圖12 企業相關域名
查詢該企業信息,該公司法人“*濤”。
圖13 備案企業信息
通過天眼查,獲得以下信息:
圖14 備案企業“天眼查”信息
|
企業名稱 |
長沙**電子商務有限公司 |
|---|---|
|
法人及成員 |
*濤、*作匯 |
|
公司網址 |
www.ky
****.com |
|
聯繫電話 |
177****3149(中國電信,遼寧鐵嶺) |
|
公司地址 |
長沙市開**********商貿城20棟3、4樓 |
|
經營範圍 |
電子產品互聯網銷售;農產品、文化藝術品、古玩、玉器、珠寶、郵票、錢幣收藏品互聯網銷售。(依法須經批准的項目,經相關部門批准後方可開展經營活動) |
對該企業預留的手機號碼查詢後顯示該手機號歸屬地爲遼寧鐵嶺,系企業留存,修改需上傳營業執照、法人***等信息,未查詢到同手機號的微信和支付寶賬號。
圖15 預留手機號
免費色情小說:
http://m2. *****.ltd/?access-token=cfa6ETs-ZncwfywIDyRYXClrMFJpNl5CKAs8bhRoAG5FOxJ7Rh1cb3YFSko。
圖16“色情小說”對應鏈接
域名備案信息查詢,自動過濾到2級域名****.ltd,域名擁有者爲*稀祥,最新註冊者爲chenlin。
圖17 域名備案信息
圖18 域名註冊信息
通過搜索網站所有人“*稀祥”,發現其註冊的另外兩個域名www.******.ltd、www.******.ltd,網站名均爲“阿菁的心路歷程”
圖19 網站所有人其他域名信息
圖20網站所有人其他域名信息
發起支付寶支付:
http://pay. *******.org/Home/Pay?id=3&charge_money=101.0&order_number=2005261958024fF0F&user_id=47466&charge_type=2。
圖21 發起“支付寶”支付鏈接
備案查詢,未備案,IP地址182.******.110,物理地址:香港simcentric網絡公司。
圖22 域名對應IP
上述鏈接在連接後會轉到下方的鏈接:
https://cwww. ******.cn/pay/receivables?order=3a9c8e4049f34083bf3d942c54d3a03e。
圖23 支付跳轉鏈接
IP地址124.******.1,物理地址:湖南省長沙市電信idc機房。
圖24 跳轉鏈接對應IP
cwww.******.cn備案信息如下:
圖25 域名備案信息
該企業還註冊了以下3個域名www.******.cn、www.*******.cn、www.*******.cn。
圖26 企業其他域名信息
通過天眼查,查詢該企業信息。
圖27 備案企業“天眼查”信息
圖28 備案企業“天眼查”信息
|
企業名稱 |
長春市****科技有限公司 |
|---|---|
|
法人及成員 |
*超、*富健 |
|
公司網址 |
www.*******.cn |
|
聯繫電話 |
157****5100(吉林 長春 中國移動) |
|
公司地址 |
吉林省長春市************【幢】2102號房 |
|
經營範圍 |
網絡技術推廣、網絡技術諮詢、網絡技術開發、網絡維護及諮詢服務;網絡信息服務;企業形象策劃;企業管理諮詢;組織文化藝術交流;會務服務;房產中介服務;物聯網技術研發、推廣、諮詢;承辦展覽展示;工藝品設計、製作;代理、發佈廣告;網絡及平臺建設、網絡軟件開發、電子產品開發與售後服務,電子產品、文化用品批發及零售;商務信息諮詢,計算機軟硬件開發與銷售,手機APP程序開發,網站設計與開發,平面設計,通訊工程(依法須經批准的項目,經相關部門批准後方可開展經營活動) |
157****5100該手機號可搜索到同號微信、支付寶賬號,通過支付寶賬號可知此手機號屬於“*超”。 
圖29 手機號對應微信、支付寶信息
4.1.3客服交互地址
通過對客服功能抓包分析,確認其使用的是**雲客服系統:
https://pubcon. ******.com/config_22874.json
https://22874. ******.ink/chat.html
圖30 客服域名備案信息
圖31 客服域名備案信息
該客服企業簡介:
****網絡科技有限公司成立於2017年,自主研發基於SaaS模式的雲客服系統,註冊即可開通使用,用於企業與顧客進行在線對話溝通,能夠幫助企業客服團隊更好的協作和管理,同時爲企業的顧客提供更便捷的對話渠道和優雅的對話體驗,讓企業更好的服務顧客。
圖32 客服官網介紹
五、支付溯源
該直播軟件的充值支付系統大致分爲三種,銀行轉賬、支付寶,微信支付。
圖33 充值支付方式
(一)***支付:
銀行轉賬,只能選擇轉到農業銀行,且收款人僅有“*春華”一人。
圖34 銀行轉賬
|
姓名 |
銀行 |
卡號 |
|---|---|---|
|
*春華 |
中國農業銀行 |
6228***********3674 |
(二)微信支付:
微信發起的支付有兩種選擇,一是微信轉到***,二是微信收款碼付款,當前微信收款碼付款支付功能顯示“所在地區無收款碼”。
圖35 微信支付方式一
選擇微信轉到***,彈出一個二維碼頁面,此二維碼不要求掃描,提示“點擊”操作。
圖36 微信支付方式二
測試發起微信轉到***點擊二維碼支付操作,多次出現如下幾個***號。
圖37微信支付收款人及卡號一
圖38 微信支付收款人及卡號二
|
*明聰 |
6230***********7851 |
浙江省農村信用社聯合社 |
|---|---|---|
|
*亮 |
6225********6968 |
上海浦東發展銀行 |
|
*亮 |
6217***********2620 |
中國郵政儲蓄銀行 |
|
*亮 |
6230***********0350 |
廈門銀行 |
|
*亮 |
6230***********2615 |
平安銀行 |
|
*進旺 |
6231***********2552 |
廣西省農村信用社 |
|
*豔萍 |
6217***********5018 |
中國郵政儲蓄銀行 |
其中名爲“*亮”的***涉及多個銀行,出現4個不同銀行的***號。
注:收款人、***號隨機生成,無法保證在測試中全部獲取
(三)支付寶支付:
支付寶發起的支付可選擇直接跳轉到支付寶支付,也可以根據出現的收款人和收款賬號支付。
跳轉到支付寶支付,只顯示收款人姓名,不顯示卡號。
圖39 支付寶內支付
發起支付寶支付時出現的收款人姓名及收款賬號。
圖40 支付寶收款人及卡號一
圖41 支付寶收款人及卡號二
圖42 支付寶收款人及卡號三
圖43 支付寶收款人及卡號四
圖44 支付寶收款人及卡號五
|
姓名 |
卡號 |
銀行 |
|---|---|---|
|
*添榮 |
6226********7141 |
民生銀行 |
|
*永軍 |
6217***********8912 |
中國建設銀行 |
|
*文昊 |
6212***********7902 |
中國工商銀行 |
|
*龍傑 |
6216***********9410 |
中國銀行 |
|
*曉雲 |
6228***********9973 |
中國農業銀行 |
|
*永軍 |
6221***********4740 |
中國郵政儲蓄銀行 |
|
*衛星 |
6216***********9386 |
中國銀行 |
|
*潤娥 |
6216***********9682 |
中國銀行 |
|
*志鵬 |
6217***********5884 |
中國銀行 |
|
*海斌 |
6226********0797 |
中國民生銀行 |
|
*俊斌 |
6217********8856 |
中信銀行 |
|
*朝安 |
6222***********3967 |
交通銀行 |
|
*飛 |
6217***********4790 |
中國銀行 |
|
*偉 |
6214***********3000 |
廣發銀行 |
其中“*永軍”出現了兩次,包含兩個***號
注:收款人、***號隨機生成,無法保證在測試中全部獲取
六、傳播渠道溯源
本軟件通過恆安嘉新暗影安全實驗室的用戶投訴獲取,在測試過程中,發現多個軟件下載入口,分別如下:
圖45 客服系統默認消息
|
456***.com ~ 456***.com |
|
|---|---|
|
2 |
http://ji
********.vip/ |
|
3 |
http://ji
********.net/ |
|
4 |
http://ji
********.com/ |
|
5 |
http://ji
********.org/ |
域名IP歸屬地查詢,物理地址均在香港。
|
域名/IP |
數字地址 |
IP的物理位置 |
|
ji********.org |
3414661959 |
香港 UDomain公司 |
|
3414661963 |
香港 UDomain公司 |
|
|
ji********.net |
3414661963 |
香港 UDomain公司 |
|
3414661959 |
香港 UDomain公司 |
|
|
ji********.vip |
3414661959 |
香港 UDomain公司 |
|
3414661963 |
香港 UDomain公司 |
|
|
ji********.com |
3414661959 |
香港 UDomain公司 |
|
3414661963 |
香港 UDomain公司 |
|
|
456***.com |
3414661959 |
香港 UDomain公司 |
|
3414661963 |
香港 UDomain公司 |
在訪問上述地址後,返回的頁面內容均相同,如下圖所示:
圖46“玖色直播”下載入口
點擊快速下載按鈕:
圖47“玖色直播”軟件下載按鈕
彈出如下鏈接:
http://jius ********p.oss-cn-hangzhou.aliyuncs.com/20200516/jiuse_live_g4_v1.2.2_g4Release.apk。
此鏈接經過查詢爲阿里雲服務器:
圖48 下載鏈接備案信息
七、擴展線索
在恆安嘉新的APP全景態勢平臺對應用進行關聯分析,共找到3款同一系列的應用。
圖49“玖色直播”同系列應用
