解讀《2022年Q1手機安全狀況報告》，移動黑灰產發展趨勢（中篇）

前言

2022年第一季度發現，洗錢黑產與上游犯罪呈鏈條式發展，存在明顯的相互依存關係，特別是對資金流轉需求巨大的電信網路詐騙產業。根據360手機衛士多年來對電信網路詐騙的研究，目前其主要透過虛假兼職、身份冒充、交友敲詐等詐騙場景、話術，利用區塊鏈、虛擬貨幣、AI智慧、GOIP、遠端操控、共享螢幕等新技術騙取受害人資金，藉助免籤、跑分、虛擬貨幣等手段進行資金流轉。隨著技術對抗的升級，傳統的三方支付、對公賬戶洗錢佔比已減少，大量利用跑分平臺加數字貨幣洗錢，尤其是利用USDT（泰達幣）危害最為嚴重。

 

繞過第三方支付平臺介面限制的免籤支付

免籤支付相當於繞過了支付平臺的介面開通限制，自己搭建了一套支付介面，脫離了監管，且由於免籤支付手段的成熟，該類工具、原始碼已經在黑灰產氾濫，輕易可獲得並進行二次加工使用，行業門檻極低。

殺豬盤、刷單、虛假投資等電信網路詐騙場景中，受害人之所以輕易相信對方，緣於騙局早期，能夠獲得騙子返回的任務佣金，但短期向不同人員過於頻繁進行多筆小額資金支付，輕則引起支付平臺的風控警覺，重則遭遇凍卡、斷卡風險。

與此同時，由於非企業使用者無法開通微信、支付寶介面，在缺乏支付介面的狀態下，黑產無法及時將支付訂單與支付金額進行匹配，故透過免籤APP做支付回撥完成訂單匹配。此種技術早期主要用於髮卡平臺（卡盟），隨著黑產市場需求的增加，已逐漸被“殺豬盤”、虛假刷單等電信網路詐騙產業所採用，故在大量的詐騙平臺可以看到其收款賬戶為個人賬戶形式的二維碼。

第四方支付平臺為（黑灰產）使用者提供了免籤監控APP、對接管理後臺，使用者首先將洗錢手機登入的收款（支付寶/微信）二維碼與第四方支付平臺繫結，獲得監控端繫結二維碼，隨後在收款手機端安裝帶有監聽手機通知欄功能的免籤APP，填入監控端二維碼完成第四方管理後臺與免籤APP的繫結。

檢測心跳，指的免籤APP是否可以正確監聽收款

檢測監聽指的是第四方支付管理後臺，是否可以正確收到監控的收款記錄

當手機收到支付寶/微信的收款通知資訊後，將資訊回傳至第四方平臺，由第四方平臺完成與詐騙平臺支付訂單的對接，實現支付介面的效果。在對免籤產業分析的過程中，還發現其為逃避打擊，將免籤APP安裝在雲手機中，以實現被控制端IP與實際使用者網路分離。

 

 

 

 

吸納“公眾”收款賬戶充當洗錢資金池的跑分通道

免籤支付一定程度上解決了電信詐騙等黑灰產平臺支付通道介面短缺，實現自動化賬單對賬，但自有資金池搭建存在資金、渠道等行業門檻，同時隨著“斷卡行動”的持續開展，黑灰產手中的收款賬戶消失殆盡，難以應對大量黑灰產特別是電信網路詐騙中頻繁的賬戶切換需求。因此將目光盯上了涉世未深的學生，透過兼職任務的方式，吸納學生參與到洗錢流程中，增加其洗錢通道，即眾包式跑分。

跑分平臺以網賺為名，進行兼職眾包，吸引兼職客向跑分平臺提供收款二維碼/銀行卡號，跑分平臺再提供給詐騙平臺，充當收款賬戶。詐騙團伙以話術誘導詐騙受害人向該二維碼/銀行卡號轉賬後，跑分平臺給予兼職客佣金。這個過程中，兼職客的收款賬戶變現成為了洗錢通道。

利用白賬戶進行涉詐資金的流轉，既規避了風控監管，又大大提高轉賬成功率，跑分平臺無需過度擔憂洗錢資金池的銀行卡被凍結的問題，為後期跑分平臺與黑產/詐騙團伙利益分成轉賬，提供了充足的時間。同時兼職客在跑分平臺進行兼職任務時，需繳納保證金，跑分平臺和詐騙平臺也不怕兼職客拿錢跑路。由於詐騙受害人的資金流向了兼職客的賬戶，兼職客的佣金透過其他形式進行變現，執法機關在進行資金流向追溯時，很難發現兼職客上游的跑分平臺。

 

早期的跑分產業，由於上游黑產使用支付寶、微信、銀行卡收款，跑分過程及押金使用網銀、支付寶、微信等。隨著攻防手段的升級，目前跑分及押金多使用虛擬貨幣進行，由於一些虛擬貨幣穩定幣的流行，多使用USDT進行跑分。透過對跑分產業使用的工具挖掘，目前黑灰產市場售賣的跑分工具、原始碼仍以代收型為主。

隨著攻防對抗的升級，現階段跑分APP不像免籤應用那樣，使用公開的原始碼進行二維碼修改，而是各個跑分平臺各自開發具有自己特點的跑分應用，且應用名稱多與訂餐、食品相關，很難具有共同性，故需要對每個應用做特徵專項分析。

例如360手機衛士在2022年發現的跑分應用“**訂餐”，其特點是當跑分客的手機收到銀行簡訊時，並將簡訊上傳至指定的伺服器，此時境外跑分團伙/詐騙團伙，使用跑分客的銀行賬戶進行收轉款時，無需透過兼職客進行操作，即黑產宣傳的跑分方案“一次性交付押金，國記憶體放手機，全自動化，不需要僱傭人力，更有超高技術保護，無任何技術可以發現你的手機位置”。

 

\ 

 

用於逃避“斷卡”打擊的虛擬貨幣

虛擬貨幣的火熱，虛擬貨幣跑分的成熟，虛擬貨幣已成為電信詐騙平臺支付通道的“寵兒”。原先佔據主導地位的微信、支付寶收款方式，在某些殺豬盤平臺甚至都銷聲匿跡。

這裡以殺豬盤平臺為例，從其充值頁面發現，其已經取消了支付寶、微信的充值入口，除仍保留的網銀轉賬入口外，大部分都是虛擬貨幣充值的入口，包含虛擬貨幣錢包、虛擬貨幣直轉兩種方式。在頁面點選充值後，可以看出該二維碼為虛擬貨幣收款地址。

 

 

 

透過支付請求的回連地址，發現其背後與免籤、跑分一樣，也使用了第四方平臺，只不過支付介面、收款二維碼換成了虛擬貨幣。透過場景復現，發現此類四方平臺提供一鍵呼叫API介面、一鍵生成USDT錢包、一鍵自動實現USDT充提、一鍵歸集全部地址、一鍵實名寄售USDT等功能。

 

個人安全防護建議

增強風險意識，絕不將銀行卡、電話卡、收款碼出借或出售給他人，避免被非法利用，不做犯罪分子的“幫兇”。同時，樹立正確的投資理念，不參與虛擬貨幣交易炒作活動，不用於虛擬貨幣賬戶充值和提現、購買和銷售相關交易充值碼以及劃轉相關交易資金等活動，謹防個人財產及權益受損。

 

回覆關鍵詞【報告】檢視更多內容