反编译分析吃鸡辅助器外挂:无外挂功能,疑诈骗钱财

腾讯移动安全实验室APP威胁情报项目组发现一个吃鸡辅助器的欺诈样本,用户需支付一定金额开启外挂功能,但该样本本身并没有外挂功能。因涉及诈骗用户钱财,建议关注。

1. 软件以“吃鸡辅助器”为名称; 2. 除了展示外挂功能外,还做了反馈界面,公号,客服号码,电话号码,增加用户的信任感; 3. 外挂功能、支付金额、客服号码、电话、公号、折扣等都是通过云端拉取; 4. 使用360加固。

一、 影响范围

近期整体样本影响用户数日均超过1w

目前覆盖周用户数:25400

累计诈骗金额(由CDG协助查询支付商户得来):30W

二、软件行为分析

1. 软件界面如下,显示支持9款游戏,分别是全民枪战、终结者2、生死狙击、穿越火线、荒野行动、丛林法则、小米枪战、光荣使命、火线精英。

外挂功能包括:物品透视、任务透视、无后座、暗杀模式、隐身模式、无敌状态、提高回血速度、降低承伤值、提高瞄准精度、游戏加速。

2. 解锁外挂功能需要付费,微信支付(根据反编译分析,云端还可配置使用支付宝付款,以及折扣信息),收款方为“**商贸”。

3. 应用内有问题反馈和免责声明,还有媒体订阅号二维码,以及IM客服号码(订阅号信息和IM号码都是从云端拉取),用来增加可信度。

三、代码分析

1. 脱壳后逆向分析,发现外挂功能实际是从网上拉取,对应url为:

http://box*tie.com/open/cjfzq.vip.json

版本信息通过url拉取,为http://box*tie.com/open/cjfzq.update.json

adv字段存储订阅号信息,qqkf为IM客服号,phone为客服电话,另外还有控制支付方式、折扣信息等字段。

2. 在原本逻辑中,开启辅助需要填入游戏id,且开启外挂功能需要支付。如果已经支付,本地的配置文件对应的外挂功能会设置为true。如下所示,this.q是文件名,thisr.get(v1).getKey()+”_type”是功能对应的key。

为了体验后续流程,伪造了一份功能配置并防止到shared_prefs目录下,开启了所谓的svip功能。

3. 点击开启辅助后,通知栏会有一个常驻通知“吃鸡辅助器 服务-辅助服务已开启”,但从反编译的代码看,除了弹常驻通知,并没有其他操作,且所有游戏外挂功能都是同样的处理逻辑。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-02-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏BestSDK

云服务最重要的“看门狗”——IaaS

从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增...

313100
来自专栏新智元

Facebook 20 亿用户数据均可能泄露,扎克伯格仍不打算辞职

13440
来自专栏云计算D1net

解决软件即服务的合规性问题

现如今,企业用户对于SaaS的使用正在迅猛增长,而这一趋势似乎将超过企业购买软件许可证,使用内部部署的形式。而这无疑就为企业的IT经理们带来了两大关于监管合规性...

31750
来自专栏信安之路

我的渗透学习之旅

最近发现很多小伙伴都在问我想要学习渗透测试,但是不知道怎么开始,也不知道要学习什么?所以在这里我打算分享一下我的渗透学习之路以及给初学者的一些建议。

25900
来自专栏云计算D1net

关于SaaS和数据恢复的6大谬误

基于云计算的各种应用已经在全球范围内成为了企业业务及其运营的关键。但是作为SaaS(软件即服务)解决方案的领导者,Office 365、Box、G Suite(...

31950
来自专栏java一日一条

Java:过去、未来的互联网编程之王

Java对你而言是什么?一门你大学里学过的语言?一个IT行业的通用语言?你相信Java已经为下一次互联网爆炸做好了准备么?Java 一方面为嵌入式计算做了增强,...

13420
来自专栏企鹅号快讯

微信年终放大招!小程序再次升级,这个功能超想要!

昨日,微信迎来了6.6.1新版本,这次主要在小程序上发力。 微信iOS版更新至6.6.1,在新版本的开屏页中,出现了一款小游戏——“跳一跳”。 ? 除了这个“跳...

24580
来自专栏SDNLAB

回顾互联网的过去十年(下)

端到端传输是互联网的革命性方面,TCP协议是这一变化的核心。许多其他传输协议要求较低级别的网络协议栈向传输协议提供可靠的流接口。由网络来创建这种可靠性,执行数据...

14550
来自专栏FreeBuf

有关事件响应(IR)自动化和协同的几点反思

有关事件响应(IR)自动化和协同的几点反思 IR(incident response),顾名思义,事件响应,旨在对一些潜在的危机,如数据外泄、DoS或DDoS攻...

20470
来自专栏安恒信息

直击黑帽大会第一天:HTTPS再爆风险,安卓系统欺骗认证严重性史无前例

一年一度的BlackHat大会于北京时间8月7日凌晨在美国内华达州拉斯维加斯召开。安恒信息总裁范渊率领安全技术达人们亲临现场,与来自世界各国的网络...

37780

扫码关注云+社区

领取腾讯云代金券