网站首页 > 反编译分析吃鸡辅助器外挂:无外挂功能 疑诈骗钱财

反编译分析吃鸡辅助器外挂:无外挂功能 疑诈骗钱财

时间 :2/5/2018 标签 : 反外挂 APP 浏览量 : 1031
腾讯移动安全实验室APP威胁情报项目组发现一个吃鸡辅助器的欺诈样本,用户需支付一定金额开启外挂功能,但该样本本身并没有外挂功能。因涉及诈骗用户钱财,建议关注。

 



1.    软件以“吃鸡辅助器”为名称;
2.    除了展示外挂功能外,还做了反馈界面,公号,客服号码,电话号码,增加用户的信任感;
3.    外挂功能、支付金额、客服号码、电话、公号、折扣等都是通过云端拉取;
4.    使用360加固。

 

一、    影响范围


近期整体样本影响用户数日均超过1w

 

目前覆盖周用户数:25400
累计诈骗金额(由CDG协助查询支付商户得来):30W

 

二、软件行为分析


1. 软件界面如下,显示支持9款游戏,分别是全民枪战、终结者2、生死狙击、穿越火线、荒野行动、丛林法则、小米枪战、光荣使命、火线精英。


外挂功能包括:物品透视、任务透视、无后座、暗杀模式、隐身模式、无敌状态、提高回血速度、降低承伤值、提高瞄准精度、游戏加速。


2. 解锁外挂功能需要付费,微信支付(根据反编译分析,云端还可配置使用支付宝付款,以及折扣信息),收款方为“**商贸”。

  
3. 应用内有问题反馈和免责声明,还有媒体订阅号二维码,以及IM客服号码(订阅号信息和IM号码都是从云端拉取),用来增加可信度。


  三、代码分析


1. 脱壳后逆向分析,发现外挂功能实际是从网上拉取,对应url为:
http://box*****tie.com/open/cjfzq.vip.json


 版本信息通过url拉取,为http://box*****tie.com/open/cjfzq.update.json


 
 

adv字段存储订阅号信息,qqkf为IM客服号,phone为客服电话,另外还有控制支付方式、折扣信息等字段。
 

2. 在原本逻辑中,开启辅助需要填入游戏id,且开启外挂功能需要支付。如果已经支付,本地的配置文件对应的外挂功能会设置为true。如下所示,this.q是文件名,thisr.get(v1).getKey()+”_type”是功能对应的key。
 


为了体验后续流程,伪造了一份功能配置并防止到shared_prefs目录下,开启了所谓的svip功能。


 
3. 点击开启辅助后,通知栏会有一个常驻通知“吃鸡辅助器 服务-辅助服务已开启”,但从反编译的代码看,除了弹常驻通知,并没有其他操作,且所有游戏外挂功能都是同样的处理逻辑。

 

 

 

 

关于腾讯安全实验室

腾讯移动安全实验室:基于腾讯手机管家产品服务,通过终端安全平台、网络安全平台和硬件安全平台为移动产业打造云管端全方位的安全解决方案。其中腾讯御安全专注于为个人和企业移动应用开发者,提供全面的应用安全服务。


腾讯安全反诈骗实验室:汇聚国际最顶尖白帽黑客和多位腾讯专家级大数据人才,专注反诈骗技术和安全攻防体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。