黑產情報 | 定向“投毒”黑吃黑，劇情酷似“碟中諜”

黑產江湖紛爭不斷

而今天要說劇情酷似“碟中諜”

 

Did you hear me?

The list is in the open.

你聽見了嗎？名單已經外洩。

——《碟中諜》

 

故事要從最早我們熟知的微商套路說起，微商朋友圈最常曬的除了豪車豪宅、名包名錶，還有各種收款截圖，營造一種輕輕鬆鬆賺大錢的迷惑氛圍，當然最終目的就是：賣產品、招代理，“收割”這路子算是就這麼開啟了。

再後來，在一些詐騙案件中，也發現了不法分子製作虛假的轉賬截圖行騙的情況。

從早期的調研情況看，此類截圖很多來自於轉賬生成器或圖片生成網站，類似於圖片模板，快速生成銀行轉賬截圖、身份證照片。

這就有一個問題

如果對方要求提供錄製的轉賬影片

這種手法顯然無法滿足

近期在黑灰產渠道，捕獲到部分仿冒銀行類應用，這些仿冒應用的作用原理就是透過雲端配置+仿冒銀行APP上下游配合，實現定製化的虛假轉賬過程，再錄製轉賬影片，其效果比轉賬生成器或圖片生成網站更加逼真。

在對產業分析的過程中，發現黑灰產人員一方面利用此類仿冒銀行APP錄製虛假轉賬影片進行欺詐行為，一方面利用仿冒銀行APP為噱頭，針對黑產人員群體進行定向投毒，增加自己的“肉雞“數量及裝置資料。

仿冒銀行APP，可偽造轉賬截圖和銀行流水

根據情報渠道的演示影片，在管理後臺，設定轉賬後的效果，如轉賬成功、轉賬失敗、賬戶已凍結。

 

在仿冒銀行APP中輸入任意賬戶轉賬，可以得到最終的轉賬效果。

 

 

透過管理後臺，還可以設定銀行卡的資訊、銀行流水情況。

 

仿冒銀行APP將展示偽造後的銀行轉賬資訊。

 

 

黑產在玩一種很新的東西？

不確定，再看看

仿冒銀行APP生產鏈路分析

從黑產渠道獲取的多個樣本APP下載鏈皆指向同一域名A，雖然應用已失效，但不同的仿冒APP皆對應域名A下不同的子域名。

 

對仿冒APP的通聯域名，其使用的伺服器時間線進行了梳理發現，每個2個月就更換伺服器，這也比較符合黑產的行為特徵。

故推測仿冒APP自2022年3月份上線後，期間透過不同的域名、不同的伺服器生成不同的包名、簽名應用，並存活至今。

 

終於！！！

最絕的定向“投毒”環節來了

 

關聯黑吃黑手法

在黑灰產交流群裡，群主除提供仿冒APP的下載鏈外，還同步提供仿冒APP的管理後臺程式，而這個程式是一個帶“毒”的zip格式壓縮包。

 

經過分析發現，該壓縮包程式實際上是遠控類木馬，比對多個威脅情報平臺捕獲到的同源樣本來看，木馬偽裝的程式名稱包括接碼、代付、詐騙話術等與黑產相關的“黑話”，推測“投毒”的目標是黑灰產從業人員。

這就很有意思了

黑產人員在給同行提供便利的同時

自己還留了後門

而透過這個後門

可以隨時控制“肉雞”裝置

這……狠起來連“自己人”都黑