AffsTools
一步一步教你用网络营销实现财务自由

我猜我可能又发现了一个黑产团队了!

起因

微信朋友突然找我,然后发现原来是被APP恶意扣费套路了。

我猜我可能又发现了一个黑产团队了!

APP已经被删了,于是只能从网址入手。

甩过来一个 http://www.wwwavtb55.faith/

网站分析

基本步骤就是查看网页源码,F12看下网络请求的过程

我猜我可能又发现了一个黑产团队了!

箭头标注的是查找到的可以的地方

网站点击取消后,直接是FRAME覆盖了

我猜我可能又发现了一个黑产团队了!

内容非常“优雅”,如果有这样的网站,请多发给我,我也是一名老司机。

看着画面的妹子在扭动,思绪万千,考虑到朋友的微信被扣了不少钱,只能强作精神,我是一个有毅力的人。

我猜我可能又发现了一个黑产团队了!

我们来查看下代码

http://www.fmnnc.com/sj.js 内容:

function browserRedirect() {

var sUserAgent = navigator.userAgent.toLowerCase();

var bIsIpad = sUserAgent.match(/ipad/i) == “ipad”;

var bIsIphoneOs = sUserAgent.match(/iphone os/i) == “iphone os”;

var bIsMidp = sUserAgent.match(/midp/i) == “midp”;

var bIsUc7 = sUserAgent.match(/rv:1.2.3.4/i) == “rv:1.2.3.4”;

var bIsUc = sUserAgent.match(/ucweb/i) == “ucweb”;

var bIsAndroid = sUserAgent.match(/android/i) == “android”;

var bIsCE = sUserAgent.match(/windows ce/i) == “windows ce”;

var bIsWM = sUserAgent.match(/windows mobile/i) == “windows mobile”;

if (bIsIpad || bIsIphoneOs || bIsMidp || bIsUc7 || bIsUc || bIsAndroid || bIsCE || bIsWM) {

window.location.href = ‘http://www.zlsopg.com/’;

}

}

browserRedirect();

不要紧张,如果你不懂JS,我来告诉你。

通过浏览器头,来判断你是WIN还是IPAD,或是安卓等等,如果是,那么跳转到他另外一个网站

http://www.zlsopg.com/

做为一个侦探,我觉的现在还不能停下来,我们继续摸索,进入下一个环节。

打开http://www.zlsopg.com/

我猜我可能又发现了一个黑产团队了!

睁大了我的钛合金明眸,内心一声惊叹:What the fuck,是什么挡住了那些好看的图片?

没错,主动弹出APK扣费软件的下载地址了。

那么我们果断下载下来!!

http://rssc.shjzsteel.cn:8082/20170402/120103/HD_qvod_wt046_lol

于是,我那殷勤的女管家立马跑过来,说这个APP有毒,会得“性病”!

我猜我可能又发现了一个黑产团队了!

但是我乃是经过千金万银锻炼出来的精钢之躯,怎么会害怕呢。

软件的运行效果

我猜我可能又发现了一个黑产团队了!

然后引导我们去付费,支付方式有两种

我猜我可能又发现了一个黑产团队了!

我选择支付宝(为了升级会员,体验一番,骄傲脸!)

我猜我可能又发现了一个黑产团队了!

当然 结果APP还是提示付费,坑我一个老农民!!!简直丧尽天良!!!

不过我们取得了一些信息。

对方信息: 平安银行股份有限公司温州分行 wxw***@qq.com

我们对现有的信息进行信息的扩展

域名:

  • http://www.zlsopg.com/

  • 我猜我可能又发现了一个黑产团队了!

kouguo96017@sohu.com 邮箱关联的信息:

我猜我可能又发现了一个黑产团队了!

都是同样色情内容性质的网站。

  • http://www.fmnnc.com/我猜我可能又发现了一个黑产团队了!

List of domain names registred by chengui23674@sohu.com

jqzlz.com

nmkth.com

qstck.com

xlyym.com

dmcrg.com

qcxcs.com

qchym.com

dmcrh.com

dhqsb.com

ksjkr.com

mtsnb.com

yjzrt.com

kdkjl.com

blcsb.com

qchdf.com

mtnxy.com

wpysl.com

qstfj.com

dwqlx.com

cmitw.com

fclcp.com

yjqxy.com

qstgd.com

jqlbh.com

ljjpb.com

wslpf.com

jqlzm.com

fxppq.com

chxdn.com

qcfxt.com

qcmzm.com

qtkhy.com

xsblp.com

lklqj.com

mzhlq.com

nmhsg.com

kqslk.com

nmcsb.com

dflqh.com

yjxrd.com

xfypl.com

kjljg.com

nmhxt.com

mtzjn.com

nmhmj.com

bwrjc.com

gpjqt.com

wphxl.com

bwjdn.com

qtmbm.com

ybspl.com

nmkyj.com

ygwlk.com

yhbrt.com

dsnym.com

gcwhl.com

ksjpr.com

ksjsn.com

ljcpc.com

ljjmc.com

mttng.com

nmkfh.com

wncfm.com

xfdpl.com

wpsfl.com

wptpl.com

ygwld.com

wpxlp.com

ybqny.com

xkslj.com

xhpls.com

nmhmx.com

nmjbf.com

ybpls.com

xhqhl.com

kslpr.com

tmznq.com

ydnby.com

kqbcl.com

wsjxl.com

qmtxy.com

xsbql.com

ymjqy.com

ptxlt.com

crnjc.com

fzjjn.com

hqjlp.com

zfgng.com

dtlsp.com

blfzs.com

qtmdf.com

wpqlq.com

yjxqy.com

zxlwz.com

pxxlt.com

qsjxj.com

qckyj.com

wpdhl.com

dflqb.com

mxdrb.com

打不开的网站我们可以google site一下,查询历史的内容。

我猜我可能又发现了一个黑产团队了!

也是一波色情推广的内容。

  • http://www.wwwavtb55.faith/

  • 我猜我可能又发现了一个黑产团队了!

同样发现惊人数量的域名。

我猜我可能又发现了一个黑产团队了!

  • http://rssc.shjzsteel.cn

通过这个邮箱扩展的域名就一般般了,内容都是垃圾站的内容。我就不贴图片了。

他们操作这么多是做什么赚钱

很明显,一个扣费的APP,利用诱惑的假黄网,引导用户去为了色情视频或者色情图片去付费。

谷歌相关的一条信息:

2016年12月起,众多网友陆续在聚投诉提交投诉称,他们分别被“看片神器”、“绝色影院”等多个声称提供成人影片的APP欺骗,逐次付费开通各级会员,结果无法观看。涉骗资金,通过微信支付进入商户“信威通”、“宸英商贸”等。而有些投诉人反映,其并无意向与信威通交易,是在浏览广告时,弹出了支付的窗口,点了返回后,反而被微信支付扣费,向信威通自动支付,也没有收到所谓的交易商品。

当然,我不知道这个

平安银行股份有限公司温州分行 wxw***@qq.com 是谁.

我猜想我可能又发现了一个黑产团队了!

这个产业的利益之大,也难以想象。一不小心,你就被扣了几十块的手续费。

而且光看域名的数量,以及域名注册的年费,我的估计是 每天这个团队都有一大批域名新注册,不停的引流量,各种诱导用户被恶意扣费。

知乎也有人分析过,刚好前两天,难道是同一个团队?

https://zhuanlan.zhihu.com/p/26048328

我的公众号:欢迎扫描订阅

未经允许不得转载:AffsTools.org » 我猜我可能又发现了一个黑产团队了!

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址