在《涉网案件中“失活网站”的研判思路》一文中,我们共同探讨了失活涉诈网站的研判思路。
虽然由于技术难度和资源配置等因素,电信网络诈骗案件中,诈骗APP关停不如诈骗网站那样迅速和直接。但掌握失效诈骗APP的研判方法同样具有重要意义,在案件侦查中可能成为关键的线索来源,为追踪犯罪行为提供新的突破口。
本文将探讨涉网案件中“失效APP”的研判思路,帮助提升网络诈骗活动的识别与追踪能力。
一、识别失效APP类型
根据APP后台服务器的状态,可以将失效APP分为两种类型:权限控制类失效 和 完全失效。
1. 权限控制类失效:也称为假性失效,指的是APP管理者通过修改用户权限,限制某些功能和服务,从而导致APP无法正常运作,营造出失效的假象。尽管表面上看似已失效,但其实后台服务器仍在运行,并未完全停止服务。
2. 完全失效:是指涉案APP已经无法再提供任何服务。这种情况可能是由于犯罪团伙利用技术维护手段,定期更改APP的后台服务器所致;也可能是因为犯罪团伙解散或转移,导致相关的服务器和服务被终止。其目的在于规避执法机构的检测与追踪,从而保护其非法活动的安全。
识别不同类型的失效APP,有助于我们制定相应的研判思路,从而采取更有针对性的措施。
二、失效APP研判思路
1►
绕过权限验证
对于权限控制类失效APP,我们可以对APK文件进行逆向分析,找到对应的源码验证逻辑,从而绕过权限验证,让APP可以正常使用。
例如,图1所示涉案APP中,APP运行会调用 isTrueVersion 函数,检查系统的日期是否为“20240701”,如果不是,则会报错,导致APP不可用。
图1 isTrueVersion 函数
我们可以通过将系统日期修改为符合要求的时间,来绕过这一验证,进行下一步的动态分析。
绕过权限验证虽然是解决APP假性失效最直接的方法,但并不适用于所有失效APP。对于那些已经完全失效或验证逻辑较难逆向分析的APP,我们需要采取下面的这些分析思路。
2►
分析历史网络请求
大狗平台APK专业报告中会对APP失效前,安装后运行一段时间内产生的网络请求以及【云真机操作台】历史操作动态抓取的网络请求信息进行记录。(如图2)
当APP失效后,我们可以通过查看历史网络请求和响应内容,获取一些关键线索,例如:
-
请求主网站:APP运行过程中向服务器发送请求以获取数据、执行操作或进行身份验证的主服务器地址。
-
服务器地址信息:从对象存储服务中获取出现的服务器地址。
-
第三方网站/SDK配置:与第三方网站或SDK相关的配置信息。
在获取这些信息后,我们可以联系对应的运营商,调取对应的注册、登录和使用等信息进行进一步分析。这将有助于我们锁定犯罪嫌疑人的身份信息,从而推动调查的进展。
图2 OSS请求中出现的URL地址
3►
APP源码逆向分析
在涉案APP失效的情况下,我们依然可以进行静态逆向分析,从源代码中提取潜在的有价值信息,例如:开发者信息、数据存储路径和第三方SDK相关信息等。
这些信息同样能够帮助我们锁定嫌疑人身份,并揭露诈骗活动的全貌,为后续的调查提供重要线索和证据。
图3 APP逆向分析源码
4►
扩线有效APP分析
除了对失效APP进行线索分析外,我们还可以提取该APP的指纹证书、SDK唯一ID值以及应用结构的哈希值等标识信息。通过大狗平台研判图谱进行扩线,找同团伙最新存活APP,并对存活APP进行进一步的动态分析。
通过找犯罪团伙的存活样本,可以获取更多有价值的最新线索,为深入调查与打击诈骗行为提供支持。
图4 关联同团伙存活APP样本
※ 以上示例仅供参考,如需要了解更多内容请登录【无糖浏览器 – 大狗涉网线索分析平台】
温馨提示:
1. 如果分析过程中遇到问题,可以将APK上传至大狗平台后,点击右下角【人工客服】寻求帮助。
2. 如果大家在案件分析中,遇到难以研判的网站、APP等涉网线索,欢迎联系大狗平台人工客服进行技术交流!
原文始发于微信公众号(无糖反网络犯罪研究中心):涉网案件中“失效APP”的研判思路
