与骗子约会：浅谈欺诈性约会APP的生态

公粽 ：黒掌

一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主！

鉴于这种异常的用户行为，我们怀疑这个应用程序里的账户不是真人，而是聊天机器人。为了证实这个猜测，我们向一个用户（昵称：美丽的镜子）发送了与原会话无关的其他内容，有意思的是只有这一条信息可以免费发，后面的不能再免费了（如下图）。

有约会欺诈现象的软件绝非个例，这种软件的运作有着一整套地下产业链。如果一个约会软件有以下几个特征，那它就可以被认作为约会欺诈软件：

一、异常的用户行为：新用户注册后，几分钟内就可以收到数条会话信息；
二、异常的信息内容：收到的信息大多数上下文无关且不知所云；
三、增值费用：新用户只能免费发一条或几条信息，之后就需购买其他增值服务才能继续聊天。而且一旦购买增值服务后，受害者就不会再收到其他会话信息了。

在这篇文章中，我们系统的研究了这种应用程序：包括用户画像和行为模式、业务模型和产业链相关方，以及这些应用程序对受害者的影响和分布情况。我们的研究围绕着这几个问题：虚假约会软件中的其他用户是真人还是聊天机器人约会软件的产业链是怎么样的些人员参与了产业链约会软件是怎么分发的进行这项研究，我们从9个安卓应用市场和Google play中下载了250万个应用程序，并且检测到了967个不同的约会诈骗程序，并且根据代码相似性，我们将其分为了22个家族，通过分析，我们发现了如下现象：

一、这些虚假约会软件中的“其他用户”大多数都是机器人，他们的用户资料和头像都是假的。例如，同一应用程序中的多个不同帐户使用同一个用户配置文件，甚至不同的应用程序中也使用了同样的用户资料。

二、产业链涉及多方，包括应用程序生产商、应用程序发行商和分销 络。例如，不同软件包名的虚假约会软件都用了同一个开发者签名，并由具有相同法定代表人的不同公司发布。

三、这些应用程序通常通过应用程序市场和广告分发。同时还使用了欺诈性排名技术，例如使用虚假的用户评论和评级来操纵应用程序的排名（即推广应用程序的一种手段）。

四、我们根据几份 告对我们检测到的虚假约会类软件的总体收入进行了估计。根据估计，市场总规模约为2亿至20亿美元。

研究相关应用程序和实验结果见：https://github.com/fakedatingapp/fakedatingapp

2 约会欺诈应用定性

2.1 约会欺诈应用识别

2.1.1 数据集

下表为原始数据集情况，其中包含超过250万个应用程序，这些应用程序来自包括官方的googleplay商店在内的十个应用市场。这些应用程序是在2017年四月到八月之间下载的，同时我们还爬取了这些应用的包括应用程序名称、发行商公司名称、应用程序版本、评分、下载次数等。

由于这些约会欺诈应用通常会使用诱人的文本来吸引受害者，所以我们首先手动总结了这些应用的描述或应用名称中经常出现的11个常用词（秘密约会、本地单身、find girl、寻爱、约会邀请、相亲、孤独、打招呼、速配、就近约会、聊天）。然后使用一个快速的关键字匹配方法来识别出了潜在的约会应用程序。最终，我们在能够在250万个应用程序识别出至少包含两个关键词的应用程序有61133个。

约会欺诈应用最重要的特征之一是它们诱导用户购买其增值服务。对于候选数据集，我们会进行静态代码分析以检测它们是否包含嵌入式应用内购买服务，如果包含，则会将它们标识为进一步的候选集合。

2.2 用户配置文件分析

2.2.1 协议分析

从虚假约会应用程序本身很难获取到账 配置文件，因此我们通过 络流量跟踪的方式来获取用户配置文件，我们在每个家族中随机选三个应用程序并在真机上运行，然后通过Tcpdump来记录这些 络流量，下表列出了每个家族中配置文件请求的服务器地址，文件下载地址和头像下载地址。有意思的是，每个家族分析出来的三个程序共用同一个服务器地址，虽然它们有不同的包名或者开发人员签名，仍表明他们属于同一个家族，由同一群人掌控。

2.2.3 假账户情况

我们认为虚假约会程序中的假帐户大多会使用偷来的或者 上的照片。为了识别这些假帐户，我们把同一个应用中拥有相同头像照片但其他信息不同（如昵称、家乡、年龄等）的帐户视为假帐户。同时我们也设法排除了默认的账户。

为了应对头像图像的剪辑和分辨率调整等简单图像处理情况，我们首先使用python图像处理库PIL对图像进行限制和缩放，然后再使用DupDetector来识别头像中的重复图像阈值为95%。如在youairen家族的中的com.jqyuehui.main的包名下，我们抓取了419352个帐户配置文件。

如下图所示，我们可以观察到伪造帐户可能存在于同一个应用程序或家族中，但有的也跨了不同的家族。通过较为保守策略的检测，每个APP中假帐户配置文件的百分比并不高，只有三个应用程序超过10%，大多数的应用程序只有不到1%的假账户资料。

（1）这些软件的注册过程相当简单，大多数应用程序不需要任何个人信息 ，22个应用中只有四个应用程序需要电话 码或者电子邮件账
（2）一些应用程序的对话充满了模板套路， 22个应用中有3个应用程序使用基于模板的对话，这些模板可以在应用程序的资源文件中找到
（3）男性注册用户和女性注册用户在使用方面存在巨大差别。对于男性用户来说，他们一上线就会有多女性账户在短时间内联系到他们。而对于注册信息为女性的用户来说来说，几乎没有收到任何信息。这表明这些应用主要针对男性用户。
（4）超过70%的应用程序需要购买高级服务，否则用户无法回复信息。对于剩下的6个应用程序，用户最多只能发三条信息。
（5）对话过程中的交谈信息多与话题完全无关。在购买增值服务之前，我们只能在6个应用程序中发送消息，而这些应用程序中只有4个帐户回复了我们，而且回复信息完全驴头不对马嘴。
（6）购买了增值服务后，应用程序就不再回应任何信息。我们花了176美元为这22个应用程序购买了增值服务。一旦我们购买服务，所有的应用程序都停止回复我们的消息。这些应用程序的唯一任务就是吸引用户购买所谓的增值服务，而实际上这种服务没有任何用处。

2.4 总结

通过分析我们认为，这些应用中除了受害人以外其他人都不是真人。首先，同一家族中不同应用程序中的帐户配置文件大多是相同的，这些帐户配置文件可以自动生成。其次，应用程序会话中的消息与主题无关，并且在购买增值服务后就再不会收到任何消息。所以这些模式可以说明这些“其他用户”是由计算机程序生成的，而不是真实的人。

3 商业模式分析

如果两个不同应用的签名相同，我们就假设这两个应用是由同一个开发者开发的。随即我们从应用市场收集已发布APP对应的公司名称。并且我们还根据相应政府机构的公开记录，收集到了公司法定代表人的姓名，这些应用程序发布者可以从受害者处获益。下表展示了相关方的一些数据，第一列为家族名，第二列为家族中的包名数量，第三列家族中开发者签名数量，而最后两列显示不同公司名称和公司法律代表的数量。由于同一人可以担任多家公司的法定代表人，因此法定代表人的数量小于或等于公司的数量。

一、开发人员签名的数量通常比包名的数量要多。这表明，不同应用程序的开发者可能是同一个人。我们还发现，即使某些应用程序的开发人员签名不同，这些应用程序的META-INF目录中的RSA文件的名称也是相同的。

二、同一家族的应用程序由多家公司发布。这可以解释为生产商可能会将他们的应用程序出售给不同的公司进行发布。例如在如下代码片段中开发人员硬编码了包名称和用于接收受害者付款的付款帐户之间的关系，这样应用程序生产商就可以向不同的公司销售同一个应用程序的不同包名。

4 结论

今天的分享就到这里，喜欢的小伙伴记得点赞收藏转发，我有一个公粽 【黒掌】, 里面分享了更多黑客秘籍，欢迎来耍！

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树认识身边的计算机 络常见的 络设备22978 人正在系统学习中