起因
微信朋友突然找我,然后發現原來是被APP惡意扣費套路了。
APP已經被刪了,于是只能從網址入手。
甩過來一個 http://www.wwwavtb55.faith/
網站分析
基本步驟就是查看網頁源碼,F12看下網絡請求的過程
箭頭標注的是查找到的可以的地方
網站點擊取消后,直接是FRAME覆蓋了
內容非常“優雅”,如果有這樣的網站,請多發給我,我也是一名老司機。
看著畫面的妹子在扭動,思緒萬千,考慮到朋友的微信被扣了不少錢,只能強作精神,我是一個有毅力的人。
我們來查看下代碼
http://www.fmnnc.com/sj.js 內容:
function browserRedirect() {
var sUserAgent = navigator.userAgent.toLowerCase();
var bIsIpad = sUserAgent.match(/ipad/i) == "ipad";
var bIsIphoneOs = sUserAgent.match(/iphone os/i) == "iphone os";
var bIsMidp = sUserAgent.match(/midp/i) == "midp";
var bIsUc7 = sUserAgent.match(/rv:1.2.3.4/i) == "rv:1.2.3.4";
var bIsUc = sUserAgent.match(/ucweb/i) == "ucweb";
var bIsAndroid = sUserAgent.match(/android/i) == "android";
var bIsCE = sUserAgent.match(/windows ce/i) == "windows ce";
var bIsWM = sUserAgent.match(/windows mobile/i) == "windows mobile";
if (bIsIpad || bIsIphoneOs || bIsMidp || bIsUc7 || bIsUc || bIsAndroid || bIsCE || bIsWM) {
window.location.;
}
}
browserRedirect();
不要緊張,如果你不懂JS,我來告訴你。
通過瀏覽器頭,來判斷你是WIN還是IPAD,或是安卓等等,如果是,那么跳轉到他另外一個網站
做為一個偵探,我覺的現在還不能停下來,我們繼續摸索,進入下一個環境
睜大了我的鈦合金明眸,內心一聲驚嘆:What the fuck,是什么擋住了那些好看的圖片?
沒錯,主動彈出APK扣費軟件的下載地址了。
那么我們果斷下載下來!!
http://rssc.shjzsteel.cn:8082/20170402/120103/HD_qvod_wt046_lol
于是,我那殷勤的女管家立馬跑過來,說這個APP有毒,會得“性病”!
但是我乃是經過千金萬銀鍛煉出來的精鋼之軀,怎么會害怕呢。
軟件的允許效果
然后引導我們去付費,支付方式有兩種
我選擇支付寶(為了升級會員,體驗一番,驕傲臉!)
當然 結果APP還是提示付費,坑我一個老農民!!!簡直喪盡天良!!!
不過我們取得了一些信息。
對方信息: 平安銀行股份有限公司溫州分行 wxw***@qq.com
我們對現有的信息進行信息的擴展
域名:
- http://www.zlsopg.com/
image
kouguo96017@sohu.com 郵箱關聯的信息:
都是同樣色情內容性質的網站。
-
http://www.fmnnc.com/
image
List of domain names registred by chengui23674@sohu.com
jqzlz.com
nmkth.com
qstck.com
xlyym.com
dmcrg.com
qcxcs.com
qchym.com
dmcrh.com
dhqsb.com
ksjkr.com
mtsnb.com
yjzrt.com
kdkjl.com
blcsb.com
qchdf.com
mtnxy.com
wpysl.com
qstfj.com
dwqlx.com
cmitw.com
fclcp.com
yjqxy.com
qstgd.com
jqlbh.com
ljjpb.com
wslpf.com
jqlzm.com
fxppq.com
chxdn.com
qcfxt.com
qcmzm.com
qtkhy.com
xsblp.com
lklqj.com
mzhlq.com
nmhsg.com
kqslk.com
nmcsb.com
dflqh.com
yjxrd.com
xfypl.com
kjljg.com
nmhxt.com
mtzjn.com
nmhmj.com
bwrjc.com
gpjqt.com
wphxl.com
bwjdn.com
qtmbm.com
ybspl.com
nmkyj.com
ygwlk.com
yhbrt.com
dsnym.com
gcwhl.com
ksjpr.com
ksjsn.com
ljcpc.com
ljjmc.com
mttng.com
nmkfh.com
wncfm.com
xfdpl.com
wpsfl.com
wptpl.com
ygwld.com
wpxlp.com
ybqny.com
xkslj.com
xhpls.com
nmhmx.com
nmjbf.com
ybpls.com
xhqhl.com
kslpr.com
tmznq.com
ydnby.com
kqbcl.com
wsjxl.com
qmtxy.com
xsbql.com
ymjqy.com
ptxlt.com
crnjc.com
fzjjn.com
hqjlp.com
zfgng.com
dtlsp.com
blfzs.com
qtmdf.com
wpqlq.com
yjxqy.com
zxlwz.com
pxxlt.com
qsjxj.com
qckyj.com
wpdhl.com
dflqb.com
mxdrb.com
打不開的網站我們可以google site一下,查詢歷史的內容。
也是一波色情推廣的內容。
同樣發現驚人熟練的域名。
-
http://rssc.shjzsteel.cn
image
通過這個郵箱擴展的域名就一般般了,內容都是垃圾站的內容。
我就不貼圖片了。
他們操作這么多是做什么賺錢
很明顯,一個扣費的APP,利用誘惑的假黃網,引導用戶去為了色情視頻或者色情圖片去付費。
谷歌相關的一條信息:
2016年12月起,眾多網友陸續在聚投訴提交投訴稱,他們分別被“看片神器”、“絕色影院”等多個聲稱提供成人影片的APP欺騙,逐次付費開通各級會員,結果無法觀看。涉騙資金,通過微信支付進入商戶“信威通”、“宸英商貿”等。而有些投訴人反映,其并無意向與信威通交易,是在瀏覽廣告時,彈出了支付的窗口,點了返回后,反而被微信支付扣費,向信威通自動支付,也沒有收到所謂的交易商品。
當然,我不知道這個
平安銀行股份有限公司溫州分行 wxw***@qq.com 是誰.
我猜想我可能又發現了一個黑產團隊了!
這個產業的利益之大,也難以想象。一不小心,你就被扣了幾十塊的手續費。
而且光看域名的數量,以及域名注冊的年費,我的估計是 每天這個團隊都有一大批域名新注冊,不停的引流量,各種誘導用戶被惡意扣費。
我的公眾號:歡迎掃描訂閱
知乎也有人分析過,剛好前兩天,難道是同一個團隊?
