资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

用色情App作跳板,强迫你看广告短信的黑灰产来了!

作者:李勤
2019/10/14 16:57

有人给你抛来一个都是各种小姐姐的不可描述的美图的软件,你猜他想干什么?

A.诱惑你看片,给你假的小黄片,然后通过不断“解锁”姿势骗你充值。

B.获取你的信息,拿走个人隐私信息卖钱。

C.骗你开展裸体模特视频聊天,获取你的通讯录,最后拿着录好的视频以3000元的价格勒索你,哼不给钱就把视频发给所有通讯录联系人,最后你被逼无奈,讨价还价以1000元成交。

红红火火吼吼,这三个选项都是雷锋网编辑从既往真实案例中浓缩的答案,但是,这次的骗局居然跟这些骚到天际的目标没有关系!

奇安信红雨滴研究团队安全研究员罗斌告诉雷锋网一个震裂三观的新发现,黑产团伙这么做的新目标是,为了给你发短信,还是为了完成广告投放商的 KPI 发短信,看起来竟然有点敬业是怎么回事?

哦不,也可能是黑吃黑。

疯狂的广告短信

故事要从一条产业链条开始说起。

作为一个在发稿前看了一眼自己短信箱未读短信数量的诚实编辑,很尴尬地说一下,目前我的垃圾(广告)短信未读数量达到了 252 条。

不是我不爱清理短信箱,而是垃圾短信特么太多了!最后,被训练得抖 M 的我甚至收藏了一条“精品垃圾短信”,这条卖高仿包的短信时刻提醒我:文案写得好,垃圾也成宝。

我的微信:XXXXXX

我是个卖高仿的。我也承认这是个拉客的软文,但是我会把性价比最好的好货带给大家!

先来解释货源,我卖手表,包包,衣服、鞋子、帽子、围巾,墨镜,皮带,还有真金真钻定制、鳄鱼皮鸵鸟皮定制等性价比很高的货物。

品牌有lv、香奈儿、古奇、迪奥、爱马仕等名包; 万国,劳力士,浪琴,欧米茄,沛纳海等名表。百分百工厂一手货源!

工厂有十多年的仿制经验,从一开始的简单仿制,到精仿,到一比一复刻,再到材料也采取用专柜同等材料,品质比你想象中的更美,保证每件到您手的宝贝都物有所值。用一件正品的钱即能买到十倍或者更多可以媲美正品品质的产品。

服务是我们的宗旨!做生意要长久,品质是我们的根本,我们有市场上最优质宝贝,但不可否认,即使是正品,也同样存在瑕疵,这样的问题上随便搜搜百度都随处可见。当你在选购我们的产品之后,如果有品质问题,我们能确保进行退换,因为我们是工厂合作方,有足够的话语权。

友情提示:如果你是要买正品的话,请直接去专柜购买,因为部分代购以及网上所谓的正品,他们的进货渠道和我们完全一样,谨防上当受骗!祝你开心!谢谢!

用专柜十分之一的价格 就能拿到专柜的货!!?您还等什么呢?

XXXXXX(微信号) 诚信经营!支持货到付款!

虽然这个广告写得别出心裁,但是这种卖高仿的广告依然是违法的。

我们到底是如何收到这些广告短信的?

第一种,通信运营商是开展着合法的付费短信广告服务的。通道商对企业进行实名制登记备案,可以通过短信通道向指定的号码发送验证码、活动、宣传、祝福等营销短信。在正规的短信通道发短信需要付费,发短信时通道代理商也会遵守相关法律法规,审核企业所属行业及提交的短信内容是否为敏感内容。

目前发送正规内容短信的价格据了解,验证码在 0.05 元一条,营销短信大约在 0.06~0.1 元钱一条。按行业不同,一般通道商一次接受短信发送量最低 10000 条起。

通道商一般审核严格,需要各种资质登记备案,但是,像贷款、电商、黑五类等敏感内容,在常规手段中,是无法冠冕堂皇地做短信广告的,这就造就了第二种“野路子”。

想捞钱的黑产们提供了一种“包治百病”的服务:短信正常发送,支持全国一切内容!这无疑很有诱惑力啊,你想想,别人都不敢发、发不了的短信,这些黑产居然可以发。

红雨滴团队研究后发现,黑产通过用户手机构建的僵尸网络,冒充“短信通道商”向广告主骗取短信营销费用,用户手机被控制,莫名奇妙收到很多“广告短信”。

虚假通道的手段

这种野路子到底有多“野”?先看看图:

用色情App作跳板,强迫你看广告短信的黑灰产来了!

对比一下通过正规通道发短信的逻辑和通过虚假通道发“短信”的逻辑。

A、广告主->短信通道代理商->使用三网通道发送短信->广告短信成功到达用户

B、广告主->冒充的“短信通道代理商”->控制手机从服务器读取广告内容->恶意App 将广告内容插入短信信箱->“广告短信”成功到达用户

原来,企业短信营销人员给出预算,下达需求后,这类黑平台冒充代理商向自己囤积的“僵尸手机网络”发送广告短信,然后把数据做得漂漂亮亮,反馈给广告商,然后轻松拿钱。

而且,这个僵尸手机网络还特别神奇,它是乘着色情 App 的便车顺利发车的!

也就是说,某一天,如果有些人从网上打开一些羞羞页面,网页提示自动下载色情 App 。如果他鬼迷心窍地同意下载,那么就开始给虚假通道代理商造了一个向自己手机侵蚀的跳板。

这些色情 App 为了躲过杀毒软件的拦追堵截,还非常“机智”地机器自动修改生成包名和签名信息,通过高强度混淆来对抗传统安全软件的查杀。

虽然,张三、王五、李四看到的 App 可能都叫“XX影院”,但是“XX影院”为了躲避杀软的拦截,可能穿上了红衣服、绿衣服和蓝衣服,但本质上还是同一类色情 App。 

用色情App作跳板,强迫你看广告短信的黑灰产来了!

用色情App作跳板,强迫你看广告短信的黑灰产来了!

这些 App 变身真的不要太容易,罗斌说,它的包名和签名信息存在一定的随机性,但还是能看出一定规律:单个包名、签名信息里的字符串看上去无任何规律,多个软件放在一起,还是能发现随机生成的字符串有一些规律,说明它是利用代码自动化生成 App 。

就像上面那张图片展示的一样:长度一样、都是com.开头,签名长度一样,签名的每个字段长度一样。

话说回来,既然都是“僵尸手机”,金主爸爸应该可以看出“转化率不高”的猫腻,就算能被骗一次,也不会上第二次当?

现实可能更魔幻,罗斌告诉雷锋网:“投放人只能通过转化率、点击率去发现其中的水分,就算发现投放人也只能在心里断定,这家‘短信渠道’效果一般,投放人会根据效果决定继不继续投放,但已经投放的,都不会退款。并且他们接的都是正规通道发不了的内容和频率,毕竟这种短信到达用户手机的方式都是真实用户,还是有一些推广效果的。

或强势插入聊天软件

经安全人员分析,这种色情 App 还在不断更新,时间跨度在一年,可以断定,该虚假短信通道已运营一年之久。

可怕的是,还有新的威胁。

安卓系统的短信存放在一个本地数据库文件(SQLite)中,在具备 Root 权限的情况下,可以对该短信数据库文件进行增删改查,这也是这种 App 实现短信到达用户手机的核心功能。

以此类推,市面上一些聊天软件的聊天私信内容也都是存放在本地数据库文件,当然,有一些进行了简单的加密。这就导致在有  Root 权限的情况下,App 也可以将广告短信插入到这些聊天软件的聊天内容中,用户收到了一条信息,会不由自主地点开,从而增加营销广告的曝光率和点击率,这样的曝光率和点击率会让广告主更满意。

这样的黑灰产甚至可以进化到让不能见光的广告主和虚假通道商达到双赢的效果,那么被强摁着头吃 XX ,失去手机控制权的人又是谁呢?

雷锋网注:本文部分内容援引自“奇安信病毒响应中心”发布的《虚假“短信通道商”黑产活动》。

长按图片保存图片,分享给好友或朋友圈

用色情App作跳板,强迫你看广告短信的黑灰产来了!

扫码查看文章

正在生成分享图...

取消
相关文章