作者：暗影安全实验室

来源：https://www.anquanke.com/post/id/219729

# 背景

近日，恒安嘉新暗影安全实验室平台监测到一款名为“乐宝”的仿冒应用，安全研究人员第一时间对该应用进行了研究分析，发现该应用表面上是一款与微信具有相似页面的聊天软件，实则是一款推广色情网站的推广软件。用户需通过本应用扫描特定二维码加群进入色情群组才能接触到色情内容，具有极高隐蔽性，屏蔽有效的犯罪侦查手段。内容以色情盈利为主，软件制作者利用该软件推广色情网站，进行网络招聘主播，网络约嫖，通过会员付费发展规模。

本文主要是针对“乐宝”的传播方式、盈利模式、溯源分析、情报挖掘等方面进行披露。以下为整个分析过程的流程图。

图1-1 运行流程图

 

1. 样本特点

1.1 仿冒微信页面，包装自己为聊天软件

该应用仿冒微信页面制作，表面看上去只是一款简单的聊天软件。用户注册账户后会生成一个随机数ID，用户可以通过该ID添加好友进行聊天。

图2-1 添加好友、聊天功能

用户输入好友ID添加好友，客户端将好友ID发送至服务器并接收服务器返回的好友账户信息以及头像信息并展示到页面。

图2-2 添加好友数据传输

1.2 特定应用扫描进群，观看色情直播

该应用只能通过扫描特定的二维码加群才能接触到黄色直播内容，不扫码加入群很难发现此应用涉及色情内容，且该二维码只能通过该应用自带的扫码功能扫描才能加入群，用微信扫码无法加入指定群，具有极高的隐蔽性，屏蔽有效的犯罪侦查手段。

扫描特定二维码加群，通过该群后台信息，可看出该群发展至了2400多人。

图2-3 加群二维码、群后台

使用微信及相机扫描二维码失败：

图2-4 微信、相机扫描结果

通过分析代码发现，该应用拥有自己单独的解码方式，来进行隐蔽传播：

图2-5 代码解码方式

应用扫描二维码后，会检测是否带有“##”开头的数据，”##”后即为群组的名字，即相机扫描二维码出现的“##mWII6O3”代表群组id为mWII6O3。

随即应用连接指定网址（http://api.l***o98.com:8585/group/join）查询加入的群组：

图2-6 加群数据传输

应用查询到群组信息后，连接地址（http://app.l***98.com/App/Group/query_group）来确认加入群组：

图2-7 确认加入群组

1.3 充值会员，网站观看色情直播

该APP只是一个隐秘推广色情网站的工具，并不具备直播功能。加入群聊后，群主通过发布色情图片诱导用户添加业务员ID办理会员。开通会员后便可登录色情网站观看直播。

图2-8 聊天记录

该色情网站集成了网络博彩及色情直播多种功能，用户充值10元便可观看色情直播。

色情网站地址：https://www.1****0.com/

图2-9 色情网站

同时网站通过展示用户中奖信息，诱导用户购买网络彩票：

图2-10 网络博彩中奖页面

不仅如此，制作者通过该应用进行网络约嫖，招收代理。代理需掌握一定的色情资源，借助色情网站这个平台进行直播获利，平台对代理收益进行抽成。

图2-11 招收代理，网络约嫖

 

2. 推广方式

2.1 传统推广方式

传统的色情软件主要通过网盘、网页、论坛、第三方应用广告插件、恶意软件后台私自下载色情软件、发展代理下线进行推广。

图2-12 传统色情软件推广方式

2.2 更新的推广方式

相比传统的推广方式通过该应用推广色情网站具有一定的隐秘性，首先通过网络传播吸引用户前往安装下载APP。

传播地址：http://h****9.org/

图2-13 推广网站

该APP仿冒“微信”作为推广色情网站的工具，主要是为了避免主流的社交软件对其封堵，同时该软件本身并没有恶意行为，只是为了更好的推广其‘产品’。通过该应用推广色情网站的隐秘性体现在如下方面：

（1）该应用表面只是一个普通的聊天工具。

（2）用户不扫描特定二维码无法进入色情直播群，无法接触到色情内容。

（3）业务员通过该应用可以很方便的管理用户以及发布网络招嫖消息，业务员与

用户的聊天内容可以涉及到敏感信息不受拘束。

图2-14 发布色情内容

 

3. 获利方式

根据测试发现此直播软件的盈利模式很清晰主要有主播分成，会员付费、网络约嫖等都需要充值购买或者线下联系，其中色情网站还嵌入了网络博彩功能，通过色情内容或中奖清单可引诱用户进行网络赌博从而获取一定的收益。

图2-15 获利方式

（1）主播借助平台进行色情直播，平台收取一定平台费用：

图2-16 借助平台直播抽成

（2）用户想要观看色情直播，需办理会员付费：

图2-17会员付费

（3）通过该平台发布公告进行网络约嫖获利：

图2-18 发布网络约嫖公告

 

4. 溯源关系逻辑图

本文主要从应用服务器地址、下载地址、传播地址、支付方式、社交账号等方面进行追踪溯源。

图3-1 溯源脑图

 

5. 基于情报线索挖掘系统拓展

5.1 服务器地址溯源

由于国内非法网站的服务器基本都搭建在境外，且做了较强隐秘性保护，通过对以下服务器地址、下载地址、传播地址进行溯源分析未查找到实际有效信息。

服务器地址列表：

URL地址		描述		IP地址		地点
http://api.l***98.com		服务器地址		20.194.23.27		美国
http://h***9.org/		推广地址		104.203.170.75		美国
https://app5.l***97.com/apk/com.		lebao074.appcode1-v1.3.0-12.apk			下载地址		193.168.4.117		卢森堡
https://www.1***0.com/		色情网站		182.16.97.213		香港

（1）通过抓取应用与服务器交互数据发现其大多数返回的信息中都包含一个URL地址：http://ro8***oud-image.ro***ub.com/，应用中用户所有的头像以及色情图片信息都是从该地址获取的。

图3-2 服务器返回数据

从该服务器地址获取的色情图片：

图3-3 获取色情图片

http://ro***oud-image.ro***ub.com/

查询该域名的备案信息，自动过滤到二级域名后：ro***ub.com。得到网站注册商“北京***信网络科技有限公司”，

图3-4 域名备案信息

该公司是一家即时通讯云服务提供商，该应用中嵌入了该公司的第三方SDK（ro***ub）以实现即时通信功能，但该公司对通信内容审查不严格。

1. 电话：010-57***199

2. 邮箱：gy@ultra***erfund.com

3. 官网：www.ro***ab.com

4. 地址：北京市大兴区经济开发区科苑路*号*号楼*层****室

图3-5 企业信息

（2）其中在添加主播助理ID的过程中，通过抓包分析发现服务器返回信息包含该主播助理注册使用的手机号码1356***6666，该号码仍在使用中，且地址显示为四川泸州。

图3-6 服务器返回手机号码信息

5.2 支付溯源

色情网站内集成了丰富的支付方式，但是目前只支持银行卡、支付宝、微信付款，后续支付方式仍在开发中。

图3-7 网站内集成的支付方式

6.2.1 银行卡、微信支付

虽然网站内集成了较为丰富的银行卡支付方式，但实际有效银行卡信息只包含如银行卡列表所示的三张银行卡。

该网站实际并未开通银行卡、微信转账功能，但用户可通过微信银行以及支付宝银行进行转账。

图3-8 微信、支付宝银行卡转账

银行卡列表：

银行卡号	银行	收款人	开户行名称
621225170400017****		工商银行		陈*利		***平原路支行营业室
622180498000138****		邮政储蓄		宋*明		**县古固寨镇营业所
623170019005307****		青岛银行		于*		青岛

6.2.2 支付宝支付

支付宝支付可根据支付的不同额度选择不同支付账号。

图3-9 网站内集成的支付宝方式

小笔金额：

1. 支付宝收款账号：159***17660

2. 收款人：王*龙

图3-10 小额支付

大笔金额：

1. 支付宝账户：gd***2@163.com

2. 收款人：永安市**街何*怡百货店（何*怡）

图3-11大额支付

5.3 社交账号溯源

在与客服聊天的过程中，获取了其中一位客服的qq账号：166***1688。QQ空间未获取任何有效信息，账号信息页显示该人现居台湾彭化县。

图3-12 QQ信息

 

6. 总结

非法色情推广应用采用了单独的解码加群功能、具有极高隐蔽性、屏蔽有效的犯罪侦查手段特点，是一种新型传播色情方式。该软件通过会员付费观看直播来发展规模，且规模巨大，非法传播色情视频，属于违法犯罪行为。因色情应用利用色情直播牟取暴利的快速与隐蔽性，传播方式每时每刻都在变化，且此类软件尚属首次发现，我们应加大监测力度，争取有效阻止此类软件的传播途径，阻止违法犯罪行为的发生。

为进一步打击色情直播应用的传播，也为维护文明和谐的网络环境，我们建议对此软件中涉及到的域名一律进行封堵，针对其提取特征并入库，做到一经发现同类应用立即封堵。

 

7. 防范及处置建议

• 封禁恶意传播的地址；

• 封禁应用内使用域名；

• 加大监察力度，争取做到做到一经发现此类应用立即封堵；

• 普通用户应该提高网络安全意识，看清楚这些应用的真面目，主动防范；