来源:蜘蛛抓取(WebSpider)
时间:2018-01-08 06:31
标签:
幼筹汇
全部结果&&&&&
¥11800.00
&&共 1&页&&&&到第
幼筹汇官方微信AVLTeam | AVL Team
1 背景概述
现时一般语境下(包括本报告下文中所指)的“传销”专指我国境内认定为非法的传销行为,包括公认概念的“金字塔式销售”、“层压式推销”及部分形式的“多层次传销”,而在其他国家部分形式合法的“多层次传销”(Multilevel Marketing,MLM)在我国境内及港澳台地区合法的存在形式往往称之为“直销”而非“传销”,在概念上需要作出区分。
自我国改革开放以来,各种形式的庞氏骗局(Ponzi Scheme)结合诸如Amway(安利)、Herballife(康宝莱)等境外合法品牌及产品的分销体系,在我国快速落地生根,并迅速派生出“传销”这一概念。
“传销”行为往往具备庞氏骗局(Ponzi Scheme)的特征,事实上属于一种诈骗行为,具体指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格。随着更多人加入,“传销”组织的资金流入必然不足以供给支出,导致其骗局泡沫破灭。这不仅给处于“下线”的大量受害投资者带来往往难以估量的金钱损失,也对维持社会道德风尚、政治经济秩序稳定带来极大负面影响。
国务院1998年4月发布《关于禁止传销经营活动的通知》,之后于2005年11月颁布《禁止传销条例》,正式以法律形式对传销进行了界定;2009年7月,《刑法修正案(七)》第一次将传销认定为犯罪行为;日,《最高人民检察院、公安部关于公安机关管辖的刑事案件立案追诉标准的规定(二)》发布,也正是在这部规定中,第一次出现了“三级”的表述方式,即“涉嫌组织、领导的传销活动人员在三十人以上且层级在三级以上的,对组织者、领导者,应予立案追诉”。日,最高人民法院、最高人民检察院和公安部联合发布《关于办理组织领导传销活动刑事案件适用法律若干问题的意见》,对传销犯罪行为进一步作了规定,包括对“三级”的界定。
近年来,随着工商、公安机关等部门履行职责进行有效严厉打击,许多组织明确、参与人数较多的传销组织相继遭到查处,客观上解救了许多深陷传销骗局的受害者;但另一方面,部分顽固对抗的传销诈骗组织也因相关法律出台而迅速转入地下活动,其活动方式、传播模式更为隐蔽,所打的幌子也更为合法化,甚至利用公检法机构定义的“三级分销合法”以乱视听,作为其犯罪活动的合法外衣,加大了发现、打击、查处的难度,多年来给各省市的公共安全及社会长治久安带来了不小的隐患。据“中国反传销协会”及其他国内自发形成的反传销组织数据汇总,直至2017年中,包括但不限于河北、河南、湖北、湖南、天津、安徽、山西、江苏、四川、福建、云南、广西及宁夏等地区仍然属于“传销重灾区”。
图1-1 2017年中国“传销‘灾区’分布图” (数据来源:“中国反传销协会”,省份与严重程度对照详见报告末尾附表,台湾数据暂缺)
正如上图所示,尤其是进入互联网时代之后,这种“重灾区”的态势更是尤为凸显。随着互联网、电子商务、在线支付等信息技术的飞速发展,传销组织所使用的新式手段也层现迭出。诸如“专挑熟人下手”、“限制人身自由”、“对新入者上课洗脑”、“以昂贵的商品为媒介”等传统“北派”* 传销在现时报告的案例中已不占据主流,而借助互联网,以电脑(PC端)及手机、平板等移动通讯工具(移动端)上的应用程序或专题网站为载体所形成的“互联网传销”则俨然成为当前社会传销的新型模式:组织者和经营者通过互联网,以暴利为诱饵,赋予上线成员直接或者间接发展下线成员的权利,通过发展下线数量计算和给付报酬,达到非法牟利的违法犯罪目的。
互联网传销相较传统的传销诈骗活动,在危害范围、危害程度方面都更大,但进行任何形式的打击行为也都相较而言更难:一些传销诈骗组织开始以“电子商务”、“网络团购”、“网赚”、“网络直销”、“网络营销”、“网络代理”、“网络加盟”、“虚拟币投资”等名义拉人头发展下线,攫取巨额不法利益的同时,致使大量网民受害者深陷泥潭,遭受大额甚至巨额的经济损失;更有一些团伙精心筹划“擦边球”套路,以正规直销业务备案领取国家商务部颁发的直销许可,一定程度上规避监管的同时也打消了许多参与者的疑心,但实质上则是利用《直销经营许可》从事传销诈骗活动。
2 总体威胁态势分析
根据通过互联网获取的公开情报以及自主监测搜集的情报进行初步分析,安天移动安全情报分析团队发现,目前(2017年第四季度)仍然有大量涉及传销及相关诈骗活动的团伙以各种形式在我国互联网上活跃,其中,又以移动端应用及专题网站(包含PC端及为移动端优化过的子站点)为甚。
这些类型的应用及网站,往往通过以下几种方式进行传播:
o线上群组推广传播,如QQ群、微信群等。
此种传播方式往往自成一个闭环,如群组可能伪装为“网赚”、“创客”、“兼职”、“报单”等合法的邀请制群组,受害者往往只能通过群组已有成员邀请加入,或是通过支付一定“入群费”加入,继而通过群内推广进入其平台(App或网站等),亦有利用群组本身进行直接传销的行为(多见于微信群,见图2-2)。受害者在单一群组中可能接触到多个与传销诈骗相关的平台,容易使单一用户遭受多次诈骗损失。
o线上平台推广传播,如微博、贴吧、各类专题论坛甚至手游等。
此种传播方式往往本着“广撒网”的思路,通过传统的消息发布配合其具备吸引力的文案,进行其平台(App或网站等)推广;而推广平台也视乎其声称业务不同,可能以各类具备社交或聊天功能的平台作为推广载体。
o线下熟人间推广传播。
此种传播方式更类似于传统线下传销,与其不同的是其以互联网平台(App或网站等)为传播及诈骗业务开展载体。
o线下推广传播,如地铁公交站要求扫码,公共场合小广告贴条等。
此种传播方式一般通过扫码后的应用下载或扫码后进行人工营销达成,其模式与线下熟人推广较为类似,不过多赘述。
图2-1 某实质推广无限裂变套现工具的“网赚”QQ群状况截图
图2-2 某微信传销群组状况截图
为了更好地了解传销诈骗类事件对于我国国内移动端用户的影响面及影响程度,基于近期安天移动安全云端安全引擎监测及全网大数据收集的结果,安全情报分析团队从其中建模筛选出了可能与传销诈骗类事件相关的移动端应用30余项,其中近几个月仍然活跃,影响用户数量较多,可能造成较大不良社会、经济影响的十余项,如下表所示。
表2-3 可能与传销诈骗类事件相关的应用列表
基于安天移动安全云端安全引擎及大数据监测的数据结果,安全情报分析团队将可能与传销诈骗类事件相关的移动端平台(App应用及专题网站等)依据其所声称的名义业务类型进行分类;目前市面上仍然活跃,且与传销诈骗类可能具备关联的移动端平台,主要可分为以下几类:(此处分类与通常区分的类别意义不同,如“支付及理财类”应用包括利用支付工具、理财产品作为传销诈骗行为“幌子”的应用,下同)
o购物及返利类
o复利返佣游戏
o虚拟货币类
o金融互助类
o支付及理财类
o电信业务类
针对这些可能与传销诈骗类事件相关的App应用(下称相关应用)的分类统计过程中,各类相关应用影响面占比如下图所示:
图2-4 各类相关应用近期影响面占比示意图
上图是依据2017年9月至12月(12月数据截至中旬)相关监测数据进行的筛选统计结果。不难看出,作为传销诈骗行为承载平台的移动端应用中,影响面占比较大的的主要是支付理财类、购物及返利类以及新兴的复利返佣游戏应用,同时电信业务类、虚拟货币类、金融互助类也具备一定活跃度,但影响相对较小。
图2-5近期各类相关应用活跃走势图(按月)
上图反映了各类相关应用在2017年9月至12月的活跃用户走势状况,不难得出以下结论:
o以购物及返利为名目的相关应用影响人数逐月走高,应与接近年底各传销组织下线业务需求增加有关;
o支付及理财作为传销诈骗组织常用的名目之一,其相关应用整体影响人数较为平稳,且各月数据来看,也都具备一定的影响面;
o新兴的复利返佣类游戏作为近年来传销诈骗组织所利用的新手法,就监测范围内的相关应用影响人数而言存在逐月下行趋势。但事实上,该类手法涉及的应用一般会构成一种“生态链”,通过平台性的设计持续地“推陈出新”,从其旧应用逐步下线到新应用纳入公众视线及监测范围则往往存在一段时间的延迟,所以不能简单地判断认为这一类相关应用活跃度降低。
图2-6 近期受相关应用影响用户数分省统计(单位:户)
如上图所示,安天移动安全根据相关应用2017年9月至12月的活跃用户状况进行分省统计,便于对作为传销诈骗承载平台的相关应用在各省的影响状况作出直观了解。
其中,受影响前五名的省份分别是河南省(103524户)、广东省(98502户)、广西壮族自治区(69351户)、山东省(49755户)以及福建省(48481户);同时,浙江省(42604户,东部沿海)、湖北省(37433户,中部)、云南省(37092户,西南)、黑龙江(26722户,东北)等省份的影响状况也较为可观,需要在下一阶段采取相应措施,以提高对于相关类型传销诈骗活动的发现及打击力度。
3 常见手段及典型案例分析
以下章节,将针对每一类传销诈骗团伙所声称的名义业务类型,及其实施诈骗的具体模式,依据第2章中的分类选取其中较典型案例,对案例中可能与传销诈骗类事件相关的典型移动端平台(App应用及专题网站等)及其运营团伙进行分析,以供相关行业用户及公众充分了解,从而:
o增强用户风险防范意识,尽可能使公众对常见的互联网传销,尤其是移动端承载的传销诈骗手段具备了解,从而在遭遇类似事件时具备甄别能力,避免上当受骗;
o对传销诈骗团伙进行曝光,避免不法分子继续通过传销行为获利,造成相关诈骗的影响面、受害面进一步在社会上扩大,带来不良的社会影响及金融秩序影响。
3.1 购物及返利类
这一类指以购物及相应返利作为传销行为“幌子”业务的应用App。其往往借助App承载其传销诈骗行为,声称用户通过App加入会员、缴费后消费,其消费额度能够得到一定比率返还;或通过现金消费送等额积分等形式,诱导消费者通过这些应用注册、消费,从而实施诈骗行为获利。
其中,目前常见的“购物及返利类”传销诈骗相关App 主要包含以下两种常见的模式:
o收取入门费、发展下线、团队计酬的“消费返利” 借助“消费返利”名义,要求会员及加入者交纳入门费或者变相交纳入门费,靠发展下线及下线实际消费金额带来的的佣金获利。
o不收取入门费、不存在团队计酬但发展下线的“消费返利”
通过网站购物平台发展联盟商家,注册网站的会员到联盟商家购物后,由商家交纳中介服务费至公司,公司再按照其声称的返还政策向消费者返还。为使之作为一种看似具备说服力的模式吸引受害者,部分公司甚至打出诸如“消费全额返利”的宣传口号。
这类模式已被大量投机者演变成“投资返利”,背离“消费返利”的本质,大量假消费、真投资的行为出现,致使这种模式完全背离初衷而成为一种混乱且难以管控的“金融游戏”,且这类模式发展速度极快,影响面较广。
事实上,“购物返利”、“返点”一类的行为在国外已成熟多年,大型电商诸如Amazon、eBay以及不胜枚举的线下大型零售商户都与相当数量的第三方返利运营商具备合作关系;但与上述两种涉及传销诈骗的模式不同,正常的返利及返点(Rewards)行为相当于企业以价格的一定比例进行返还现金促销,本质上不需要任何入门费;而国内外互联网多个销售领域成熟的推荐人制度(Affiliate),其“上线”收益也不可能与实际交易笔数或后续交易额度挂钩,往往仅以推荐新会员注册个数而论,且对用户身份合法性、唯一性以及上线行为是否异常等因素具备明确且严格的判断机制。
图3-1 境外某旅行预订网站的详细推荐人制度条款(仅截取部分)
从上图中不难看出推荐人制度与传销活动中发展下线获利的区别,即正常运作的推荐人制度对上线推荐获利次数及下线真实身份等诸多方面均有严格限制,确保该制度在运行过程中不会因为人为因素而越界为类似“传销”的行为。
图3-2 各级政府部门多次对此类风险发布警示
针对这种情况,多地人民政府及相关部门均持续发出对与“购物返利”、“返利”尤其是“全额返本”类模式的预警提示,对各用户群体起到警示作用;而事实上,由于这一类传销活动往往以互联网为主要载体,较为隐蔽而难以根除查处,且其口号往往对一般逐利的用户具备较大吸引力,近年仍涌现出大批遭受购物及返利类传销活动诈骗的用户及案例。
3.1.1 喵掌折扣
3.1.1.1 现象
图3-1-1-1 喵掌折扣官方网站(http://www.51mzzk.com)
喵掌折扣是由杭州骥腾科技有限公司开发的一款应用平台。其声称自己是会员制的“移动社交电商导购平台”,且已与天猫、淘宝、京东等国内具备较大影响力的电商平台合作,能够实现加入商户的“一键分销,一件代发,全渠道推广”以及平台用户的购物返利,号称“颠覆淘宝客制度”。但以关键词在互联网进行资讯检索,发现有大量用户反映“喵掌折扣”属于具备传销特征及实质行为的平台,其“会员”体系实质上就是传统传销诈骗行为中的上下线架构,上线依靠发展下线,以及下线实际消费金额带来的的佣金获利,其“导购商城”模式只是幌子。
3.1.1.2 作案方式
喵掌折扣利用用户希望获利的心理,出于大众普遍对“三级营销”合法与否不甚了解的信息不对等,构建了三个等级的用户体系:
o第一等级的无门槛会员“省钱喵”,声称能够通过其平台实现类似淘宝客的合法返佣;
o第二等级的会员“招财喵”需要缴费100元升级,升级后可以进行推广发展下线,从中获取佣金,同时也可以从下线使用优惠券的收益中获取佣金;但这一级别的会员有提现额度限制,仅300元。
o第三等级的会员“富贵喵”声称提现额度不受限制,其他与第二等级的会员相同。
其通过“入门费”及发展下线,促使下线在平台消费等类似制度实现上线获取佣金、并给“喵掌折扣”运作公司带来利益的目的,本质上属于传销诈骗行为。
图3-1-1-2 喵掌折扣受害用户在互联网发布的宣传文案
3.1.1.3 团伙背景
喵掌折扣官方网站及各种宣传途径中所声称的公司名为“杭州骥腾科技有限公司”,根据国家企业信用信息公示系统查询,该公司注册于浙江省杭州市西湖区西溪新天地商业中心7幢713室,其法人姓名为王鑫明,另有一名股东名为骆小菲,公司成立于日,曾于2017年3月被杭州市西湖区市场监督管理局列入过经营异常名录。
图3-1-1-3 移动端App中用到的域名信息,已开启隐私保护
通过对喵掌折扣移动端App进行交互数据包抓取分析,发现其中包含的多个域名与其官网域名51mzzk.com的Whois信息相似,都使用了阿里云注册商的隐私保护功能,无法得知其真实注册人;但其中有一个域名未开启隐私保护功能,如下图所示,其显示注册人确实为王鑫明,而公司为“杭州夺宝电子商务有限公司”,邮箱地址是,其注册时间是日。
图3-1-1-4 移动端App中用到的域名信息
对“杭州夺宝电子商务有限公司”相关信息进行查询,在其变更一栏中发现,王鑫明在日前曾经是该公司股东,经过变更后不在名单内。
图3-1-1-5 杭州夺宝电子商务有限公司企业信息变更记载
因为这一由王鑫明注册的,归属于“杭州夺宝电子商务有限公司”的域名目前被用于喵掌折扣的移动端App内承载相关业务,且该域名至今并未进行过户、修改信息等处理,故有理由认为“杭州夺宝电子商务有限公司”与“杭州骥腾科技有限公司”可能存在一定联系。
同时,我们发现“杭州夺宝电子商务有限公司”最近一次的变更事宜记载了其法定代表人由原先的毛忠磊变为董俊楠,而毛忠磊至今仍然是“无锡优畅网络科技有限公司”的总经理与执行董事。通过公开情报对该公司进行查询,同样发现其可能涉及一款“优畅神讯”的网络电话传销骗局。该网络电话软件同样在互联网上遭到大量用户反映无法使用,或是反映属于传销活动。
图3-1-1-6 存在发展下线、分润行为的“优畅神讯”网络电话
图3-1-1-7 “优畅神讯”网络电话佣金提现制度
如上图所示,“优畅神讯”这一网络电话软件中的会员分润及“低级会员提现限制”制度也与“喵掌折扣”软件相似,其宣传口径中的与三大运营商合作也与“喵掌折扣”所声称的与各大电商平台合作如出一辙。同时,部分“优畅神讯”的推广者如下图3-1-1-8中所示,涉及使用或以一款夺宝客户端作为返点平台。结合毛忠磊在“杭州夺宝电子商务有限公司”担任过职位,以及该公司法人变更的突然性存在不合理之处,根据目前所掌握的线索,我们认为,存在“杭州夺宝电子商务有限公司”、“杭州骥腾科技有限公司”与“无锡优畅网络科技有限公司”具备类似团伙作案的可能性,而王鑫明、毛忠磊、董俊楠等人则可能属于团伙作案的成员。其利用相似的网络新型传销模式,配以不同行业的业务外壳,在多地注册公司并推出相应客户端,进行实质上的传销诈骗活动以获利。
图3-1-1-8 “优畅神讯”推广者截图中的“一元夺宝”字样
3.1.2 红人装
3.1.2.1 现象
图3-1-2-1 红人装官方网站(http://www.hongrenzhuang.com)
红人装是由深圳信人科技有限公司开发的一款应用平台,其声称自己“是一家以社交为基础、以视频为展示形式的服装购物新零售平台”,能够在各大电商的服装商品购买过程中提供返利。但同样的,互联网上亦有大量用户反映“红人装”属于具备传销特征及实质行为的平台,其中,大部分来源于公开情报的描述类似于“第一让你交钱成会员,第二让你发展下线继续牟利,第三让你骗取你亲人亲戚加入,最后还会让你再交680元店主管理年费”,也有类似于“红人装”受害者的信息反馈,如图3-1-2-2所示。
图3-1-2-2 红人装受害者家人在互联网上的信息反馈
其“会员”体系及“代理”层级,实质上就是传统传销诈骗行为中的上下线架构,上线依靠发展下线的佣金获利,甚至过程中“坑熟”的行为一如传统传销般广泛存在;同时,其中存在当前各类微商、直销渠道中较为惯用的“价格黑箱”手段,如下图所示所谓“定制微商产品”、“私人定制产品”都属于典型的价格黑箱,为“红人装”运作公司攫取不法利益的手段之一。
图3-1-2-3 红人装运作过程中的典型“价格黑箱”
3.1.2.2 作案方式
为尽量打消用户疑心,使用户将其传销诈骗业务与合法的“淘宝客”营销返点活动与推荐人制度联系起来,“红人装”也设立了三个会员级别。
o第一等级的“粉丝”:通过其平台免费注册,声称粉丝通过平台在各大电商平台购物即可享受40%的产品利润返佣;分享红人装个人二维码,推荐其他人加入,能够得到新加入者消费利润的20%返佣。
o第二等级的“皇冠代理”:以198元购买平台“私人订制商品”就可成为皇冠代理,声称购物可享受产品利润50%返佣;推荐的用户升级为皇冠代理并购买“私人订制商品”,上线可获得70元返佣。
o第三等级的“红人店(网红店)店主”:单用户零售累计10盒“私人订制商品”,最少拥有10个皇冠代理,每个皇冠代理最少拥有100个粉丝的情况下,缴纳680元/年店铺管理服务维护费,即可申请开启红人店。其声称“红人店店主”购买产品将得到产品利润90%的返佣;同时可以向平台3折批发私人订制商品,58元/盒,5盒起批。
其通过“入门费”门槛,同时通过设置会员“升级”的下线数量限制,促使各层会员发展下线,为下线灌输其“销售思维”,使得其在平台消费“价格黑箱”商品为上线及公司带来不法利益的同时,也积极地发展其自己的下线,本质上属于传销诈骗行为在互联网时代的“新型变种”。
3.1.2.3 团伙背景
红人装官方网站及各种宣传途径中所声称的公司名为“深圳市信人科技有限公司”,根据国家企业信用信息公示系统查询,该公司注册于深圳市宝安区新安街道留仙二路万源商务大厦1栋518室,其法人姓名为于一,另有股东张晓文、张井龙与一家名为“深圳市长元海兴科技发展有限公司”的公司。公司成立于日。
对其法人名下其他关联的公司进行挖掘,发现其还拥有或参与以下几家目前仍处于存续状态的公司:
o深圳市久韵国际贸易有限公司(与张井龙共同参与)
o深圳市木及人本科技有限公司(与张晓文共同参与)
o深圳市留得花科技有限公司(与张晓文共同参与)
o西安红人装网络科技有限公司(与张晓文、张井龙共同参与)
o深圳市不可创意电子商务有限公司
其中,“西安红人装网络科技有限公司”是红人装App运作过程中为了在西安开设实体店“落地”而注册的企业,注册于2017年1月,早于其实体店开设2个月;“深圳市木及人本科技有限公司”能够直接关联到的域名为http://tlgn365.com,其域名信息已开启隐私保护,但通过历史查询能够关联到 Yi Yu,即前述“深圳市信人科技有限公司”法人,而其他企业则并未挖掘到其明确的,仍存续的实体业务。
图3-1-2-4 tlgn365.com 域名历史信息
同时,该域名在安天移动安全情报分析团队对红人装App进行数据包抓取分析的过程中,也发现其当前仍然承载着红人装App的业务,而并非与根域名首页一样,仅有自动生成的推广站,故可认为“深圳市木及人本科技有限公司”也可能与红人装相关业务具备一定联系。
对红人装官方网站hongrenzhuang.com 进行Whois域名信息查询,可发现该域名仍然在“深圳市信人科技有限公司”名下,由阿里云提供域名服务,如下图。
图3-1-2-5 hongrenhuang.com Whois 域名信息
3.1.3 奢瑞小黑裙
3.1.3.1 现象
相比喵掌折扣与红人装,“奢瑞小黑裙”则是一个更具备触犯“传销”相关法律风险的微商品牌。由于其自上线以来几度改变营销返润模式,类似“下线”的多级代言人推广机制也未具备有力且明确的监督方式,其声称加盟用户不在少数,覆盖城市数量也较多,一旦外部监管效果不佳,较易在发展过程中越界为传销行为,并给社会、经济秩序稳定带来一定负面影响。
奢瑞小黑裙成立于2015年8月,声称自己只是一家只出售黑色裙子的互联网服装品牌。其采取“DC+O2O+移动互联网+小黑裙文化”的创新分销模式,让利30%给消费者,并采取分化的返利政策与一种使消费者、经营者“即是传播者,也可以是消费者”的模式进行传播推广。
3.1.3.2 作案方式
图3-1-3-1 “奢瑞小黑裙”代言人层级示意图
其官方客服对其会员制度的介绍是,“当您购买一条399元小黑裙时,您就会成为奢瑞的代言人,拥有专属二维码,通过扫您的二维码或者关注您的店铺链接购买的是您的一级代言人,您将得到10%的奖励;通过您一级代言人购买的是您的二级代言人,您会有10%的奖励”。这一制度虽然被声称为三层营销,但根据公检法《关于办理组织领导传销活动刑事案件适用法律若干问题的意见》中相关条文规定,对于营销层级的认定应该包含“组织者、领导者本人及本层级在内”,也即应该包含“奢瑞小黑裙”公司在内,实际应该为四层营销。从这一角度看,“奢瑞小黑裙”存在与现行有关传销法规相悖的可能。
值得一提的是,根据商务部,工商总局2016年第7号文《关于直销产品范围的公告》,即使“奢瑞小黑裙”属于合法分销的直销机制,其售卖商品“小黑裙”作为服装类商品,也并不包含在规定合法的6类直销产品中。
同时,由于其多级分销机制涉及“入门费”、“层级推广”,且其系统较大一部分依托于微信公众平台,曾被微信方面多次要求进行分销模式调整,甚至于2017年初遭到公众平台封号处理,因此才有了第2章中提到的“奢瑞小黑裙”App平台的产生;
其次,其大比重返佣的多级分销模式,导致每个用户从购买之初的考量即分为“商品本身的实用价值”与“发展下线,返佣牟利”两部分;而发展下线的部分,一般也都会以用户身边的关系圈作为“下线”人头的主要来源,本质上是一种“人情变现”,此类营销模式较易导致人际间信任危机产生。
3.1.3.3 团伙背景
通过“奢瑞小黑裙”官方宣传材料及互联网公开情报检索得知,“奢瑞小黑裙”创始人为王思明,其个人背景信息在互联网上公开版本如下图:
图3-1-3-2 “奢瑞小黑裙”创始人信息互联网公开版本
通过浏览其官网http://www.xiaoheiqun.com,我们只留意到该团体声称自己为“SOIREE奢瑞小黑裙”,而并未发现任何正式的公司及注册实体名称。通过对法人王思明名下的公司进行挖掘,我们能够得到其与“奢瑞小黑裙”相关公司的关系,如下图:
图3-1-3-3 “奢瑞小黑裙”相关公司关系示意图
根据此图,排除为“奢瑞小黑裙”注资的投资机构之后,我们发现,其创始人与以下公司具备关联性:
o北京奢瑞电子商务有限公司
o北京奢瑞小黑裙服饰有限公司
o北京小黑裙国际文化传播有限公司
o北京金九银十投资咨询有限公司
其中,王思明与列表中前三家公司均具备紧密职务联系,同时另一股东孙淑丽也与其在相应的三家公司占据管理职位。同时,根据奢瑞小黑裙官方网站xiaoheiqun.com的Whois域名信息,我们发现该域名归属于“北京小黑裙国际文化传播有限公司”。
图3-1-3-4 xiaoheiqun.com 域名Whois信息查询截图
并且,根据对“北京金九银十投资咨询有限公司”的企业信息变更记录进行挖掘,发现早在2014年12月之前,该公司即由王思明、孙淑丽共同管理,其时公司名称为“北京洪科餐饮管理有限公司”,而2014年12月该公司更名后,法人身份虽然转移给吴松,但此公司至今都为王思明独资,故有理由认为,上述四家公司与王思明、孙淑丽二人均存在较大可能的紧密联系,且这四家公司在“奢瑞小黑裙”整体业务运营中也可能起到了较大的作用,其核心应为“北京小黑裙国际文化传播有限公司”。
3.2 复利返佣游戏
近年来,市面上活跃着大量“复利拆分盘”系统类型的系统定制服务,如下图中所示,有大量的小型软件开发公司提供源码级的相关代码开发服务。
图3-2-1 互联网上活跃的大量“复利拆分盘”源码定制服务
事实上,这一类系统从原理上而言属于传销诈骗行为的承载平台,故市场上才会有大量对此类应用系统的定制需求。其主要由复利盘系统和拆分盘系统组成:
o复利盘系统主要为用户提供基于虚拟“股权”的交易,用户固定投资一笔资金后,每天可获得持续性的收益,但用户想要获得更多收益就要成为报单中心(类似于传统传销中的“上线”概念,即发展下线),获得更多提成;
o所谓的拆分盘系统,则是在系统中通过售卖“股权”资格给首批参与投资的用户,当有更多的用户参与购买时,“股权”的价格就会上涨,等达到拆分价格或者是其倍数后,就会进行“股权”拆分,而前期的投资者就可以获得增长的收益。如果后期买入需求不足,那么前期的投入收益不会增长,也不会允许提现。
事实上,这种被称为“复利拆分盘”的骗局即当前热议的“虚拟币”前身,其原理相似,都是首先构造出具备声称价值的“股权”、“股份”或是“某某币”,并通过外部概念热潮及相关推广营销吸引用户投入法币(人民币、美元等具备一般等价物属性的货币),从而积累可观现金池,营造出其“股权”、“股份”或是“某某币”具备实际流通价值或一般等价物属性的假象。
但这些假象极易由各方面因素导致出现恐慌性的抛盘,继而出现整体崩盘的状况,导致参与者成为最终为骗局“兜底”,而始作俑者(即发行者、庄家)早已将其声称具备价值的“股权”、“股份”或是“某某币”卖空套现,携现金池潜逃。
宏观看来,整个系统是否可持续,一个重要考量指标就是无论产品或服务输出“是否能够对接实体经济”,如果没有对接实体经济,整个系统无法实现现实社会中价值的输出,则系统中任何“股权”、“股份”或是“某某币”的盘面大小、热度、复利只能靠后来加入者支撑,此类行为,本质上与庞氏骗局没有区别。
而本类所述的“复利返佣游戏”,则是“复利拆分盘”一类的骗局套上游戏外壳后的一种表现形式。其以类似复利盘、拆分盘的模式构建一款或多款游戏(且往往是热门游戏),并固定人民币与其中“游戏币”或“游戏道具”的兑换比率,建立一种与“复利拆分盘”并无二致的游戏生态,并以类似“玩游戏能赚钱”、“在游戏中理财”等为宣传口号进行推广,吸引受害者上钩;而往往用户达到一定数目,可能随时面临用户增长衰退的高风险时,游戏发行者(也即庄家)往往会携现金池潜逃,并选择在适当时机下线游戏,留下无法兑现的游戏生态与广大的受害者群体。
3.2.1 英伦系列游戏
3.2.1.1 现象
此章节所指的“英伦系列游戏”,即是市面上诸多具备传销诈骗性质的复利返佣游戏中影响面较大,性质较为恶劣的一系列游戏集合,包括但不限于“皮皮果”、“富丽果”、“英伦斗地主”、“英伦果园”、“英伦果大厦”、“英伦果商城”等,均为一自称为“新玩客网络技术有限公司”的团伙开发。
图3-2-2 该公司在微信公众号的宣传文字
其声称自己是与英国Pergame(帕加姆)合作的国内知名游戏公司,并打着“让用户在游戏中学习理财”、“走向财富自由”等具备诱惑性的口号,自2016年起开发若干款“英伦”系列游戏,在其中建立复利拆分盘,并在运营一年以后的2017年迅速撤盘(该团伙称之为“圆满结束”,使得数以万计的用户在游戏中“不知不觉”遭受其传销诈骗,不仅未能拿到预期的收益,本金也无法返回。
图3-2-3 “英伦”系列游戏受害者试图使用互联网公开维权
3.2.1.2 作案方式
正如3.2章节中提到有关“复利返佣游戏”的大体描述,“英伦”系列游戏从最初以“富丽果”应用身份融合早期“农场偷菜”类游戏玩法与“复利拆分盘”的传销诈骗手法,配以对一般用户极具诱惑力的“空手赚大钱”文案,以及“上线”组成的“精英战队(实则是传销诈骗团伙核心营销团队)”进行有力推广,直到2017年初游戏改名为“皮皮果”、“英伦果”,并推出“英伦果商城”、“英伦斗地主”、“英伦果大厦”等基于“英伦果”这一虚拟“股权”或“虚拟币”的系列游戏及应用,其实质上并未有诈骗手法上的变化,均是以其运作团伙创建的虚拟“股权”或“虚拟币”(即系列游戏中的“苹果”)为载体与核心,利用一般用户对“玩游戏赚大钱”、“空手赚大钱”的期许与这一群体对“复利盘”、“拆分盘”的欠缺了解进行传销诈骗行为。
性质恶劣的是,据互联网公开情报显示,在该团伙以“英伦游戏”行骗得手并卷款撤盘之后一段时间,又改头换面注册了新公司,并发布“梦果成真”游戏,试图创建一个新的复利拆分盘,以其一贯的“游戏中学习理财”口号引导、吸引下一批受害者上钩。
并且,“梦果成真”游戏及其运作公司“上海梦果成真网络科技有限公司”直至2017年底仍然在我国互联网保持活跃,其恶劣的诈骗行为并未遭到任何形式的打击及查处,在我国互联网及一部分网民群体中造成了极其恶劣的影响。
根据该团伙开发核心游戏“皮皮果”的玩法说明,注册“皮皮果”会员需要330元人民币,其中30元是“新玩客”公司管理费,而剩余300元则用作购买300个“苹果”(也即游戏中的虚拟“股权”或“虚拟币”)种到果园里。其声称,玩家每天只需要花两三分钟到果园里“施一次肥”,就可以得到1.5%左右的利息,且利息按照复利计算。但同时,为了达到传销诈骗的目的,其作出了以下规定以促进受害用户发展下线,为其通过传销诈骗行为不法获利带来了极大便利。
o推荐的新用户加入要从推荐人的“粮仓”扣除330个“苹果”,系统扣除30个,新玩家得到300个;
o推荐的新用户加入,推荐人得到16个“苹果”;
o系统每天通过报单总数与用户种植“苹果”的总数来进行产出,产出收益算法是:(当日新报单金额合计)/(所有会员果园苹果数)*(您果园的苹果数);
o苹果可以以人民币自由进行交易,出售苹果时,系统扣除10%的手续费。
其通过“入门费”门槛,同时通过对上线获利的算法上进行规定。促使其上线会员发展下线,投资并买入“苹果”,且从结果上来看,受害者及涉及金额并不在少数,故本质上应属于传销诈骗行为在互联网时代的“新型变种”。
3.2.1.3 团伙背景
如3.2.1.1 章节所述,该公司自称为“新玩客网络技术有限公司”,其网站域名为www.xinwanke.cn(已无法访问)与pergame.me,同时声称其与所谓的英国Pergame帕加姆游戏公司合作运营整个“英伦”游戏体系。但经国家企业信用信息公示系统查证,并无以“新玩客网络技术有限公司”为实体名称注册的任何形式公司,也即该公司无工商注册信息;其谎称的与英国Pergame公司合作运营也存在夸大、不实等问题,在其宣传渠道的页面中出现过一份《Certificate of Incorporation of A Private Limited Company》(英国私有有限公司法人证明),如下图左侧部分:
图3-2-5 两份《英国私有有限公司法人证明》对比
但经考证,该证书照片中刻意将证书的颁发时间点进行抹除,该团伙所称的Pergame公司实际在日才在英国威尔士(卡迪夫)注册,晚于该团伙开始开发“英伦”系列游戏的时间节点,但早于该团伙声称与Pergame公司开始合作仅1个月(参见章节3.2.1.1中的时间表)。故我们有理由推测,该团伙所谓的“与英国公司合作”实为自导自演来打消受骗者疑心的伎俩,所提到的Pergame公司成立十分晚,在国际上也无任何知名度,可能只是该团伙在英国以一定资本(最小注册资本为8万英镑,编者按)注册的“皮包公司”。
根据互联网公开情报搜集信息,许多“英伦”系列游戏的受害者对“英伦”系列游戏背后的主导者情况较为了解,进行了适当的披露,并且至2017年底仍然在尝试借助各种法律手段维权,如下图。
图3-2-6 “英伦”系列游戏受害者团体的“维权建议”,活跃于日
因该系列游戏推广交流主要通过邀请制的微信群及App,而App及官网均已下线无法使用,微信群也为无法搜集线索的闭环存在,国家企业信息数据库中也不具备相应名称的企业实体,故可通过公开情报进行考证的信息较为缺乏。
通过对多渠道不同受害者披露的情况进行了解、分析、判别后,安天移动安全情报分析团队认为以下线索较具可信度,可以作为一定程度上的参考:
o“英伦”系列游戏及“梦果成真”公司主导者都为刘镇源,广东揭阳人;
o刘镇源可能是“广西祥发投资集团有限公司”高管,同时曾因为相关经济案件被记入全国法院“失信被执行人”名单;
o“英伦”系列游戏的核心营销团队包括:郭贝贝(河南济源)、王涛(河南洛阳)、党建平(河南洛阳)、王海丽(河南洛阳)、时光辉(河南郑州)、叶静(河南郑州)、陈慧峰(浙江湖州)、张凯(浙江湖州)、杜玉柱(江苏苏州)、曾国莲(四川广元)等。
3.3 虚拟货币类
当前世界范围公认的虚拟货币,往往指的是“不依靠特定货币机构发行,依据特定算法,通过大量的计算产生,发行总量具备限制,且可能去中心化并无法大量人为制造”的一种“数字货币”。自2009年第一个数字货币概念被提出以来,涌现出的虚拟货币无数,著名的包括比特币、莱特币、以太币等,虽然其不具备完全的一般等价物属性,但因为其“去中心化”、“安全”、“匿名”等声称由技术手段保证的先进属性,也在一些国家和行业被逐渐接受,并拥有与美金、人民币等法币的兑换“汇率”,甚至一度走高。
但此处传销诈骗行为语境下的“虚拟货币”,则完全不能混为一谈。这种“虚拟货币”,更类似于章节3.2中所述复利拆分盘涉及的“股权”及相关诈骗游戏中的“虚拟道具”。之所以在这种语境下出现“虚拟货币”的概念,主要由于当前市面上可能带来暴利的各种虚拟货币遭到火热炒作,与虚拟货币相关的任意概念都较易使得普通用户失去理性,故各色传销诈骗团伙即将复利拆分盘的“旧诈骗套路”与“虚拟货币”概念进行混淆融合及高端包装,将实质上是毫无价值的“股权”及“虚拟道具”改换成虚拟货币的名头,以精心编纂的文案进行推广,吸引没有辨别能力及风险防范能力的受害用户;也与复利返佣游戏的惯用套路相似,待到现金池具备一定量后,传销诈骗团伙(即庄家)就会撤盘并卷走现金池,使得受害的投资者不仅拿不到许诺的利益,而且血本无归。
根据安天移动安全情报分析团队总结,虚拟货币类传销诈骗一般具备以下两种特点:
o以虚拟货币作为幌子的复利拆分盘玩法简易,操作傻瓜。从互联网渠道获知的受害者“维权”信息中了解到,此类骗局受骗者中包括大量老年人。
o以“虚拟货币”、挖矿作为卖点。这种混淆概念的操作模式,钻了普通民众对于虚拟货币并不了解的空子,将团伙自己创建的复利拆分盘包装成虚拟货币,诱使更多受害者上当受骗。
3.3.1 莱汇币 (已破案)
图3-3-1 莱汇币传销诈骗受害用户微博截图
莱汇币即是典型的,伪装为虚拟货币的“复利盘”案例。2016年8月,潜逃的犯罪嫌疑人才雄(齐齐哈尔人)被抓获,此时莱汇币这一涉及传销诈骗的“复利盘”涉案金额已经超过500万元。
莱汇币“发行”之初,才雄通过各种手段宣传,许诺只要在他的莱汇币项目中投资一万元,此后受害人即可无限期地每日从中提现120元,不足三个月便可回本,此后每天提出的120元都是收益回报;同时,其在宣传文案中这样写道,“获取到自己的推广地址……只要有人认证了,你就可以得到1000个矿工!邀请50个人认证后你就有5万个矿工。需要坚持7个月左右,到时候就可以每天提现了”,以“发展下线带来高回报”诱使用户推荐莱特币下线加入。可事实上,才雄仅仅是将非法集资得来钱款的一部分用于支付前面投资人的利息,很大一部分则保留在现金池中,直到其日关闭网站,卷现金池潜逃。
3.3.2 维卡币 (部分破案)
维卡币也是近年来“虚拟货币类”传销诈骗的一个典型案例。“维卡币”传销组织系境外向中国境内推广虚拟货币的组织,传销网站及营销模式由保加利亚人鲁娅组织建立,服务器设立在丹麦的哥本哈根境内,对外宣称是继“比特币”之后的第二代加密电子货币。
下表中,将“维卡币”与公认的世界首个虚拟货币“比特币”进行属性对比,不难发现,其实“维卡币”并不是真实的虚拟货币,而只是传销诈骗过程中所利用的工具:
表3-3-2-1 “维卡币”与“比特币”特性对比
其同样是利用了大众对“虚拟货币”概念的了解空白,将虚拟货币与复利拆分盘混为一谈:声称“投资36万元,半年就能变成4100万元,而且不需要任何办公条件,只要一台电脑就可以在家中坐等收钱”,要求参加者缴纳一定费用获得加入资格,并按照一定顺序组成层级,以直接或间接发展人员数量作为计酬和返利依据,将上述计酬和返利以分期支付方法进行发放,以高额返利为诱饵,引诱参加者继续发展他人参加而骗取财物。
在线上,其由国内核心“上线”组织通过微信、贴吧等多个知名线上平台进行渠道推广的同时,也在广东、湖南、辽宁等多省进行大规模的线下“推广”。由于“维卡币”在国内一度造成较大社会、经济秩序的不良影响,且行为明显涉及传销诈骗。2017年广东省“飓风行动”及2017年中湖南长沙的相关专项打击活动中即针对相关国内团伙进行了打击,并收到一定成效(2017年9月,涉案16亿元人民币的湖南“维卡币”传销诈骗案宣判,35人获刑),但由于其核心组织成员及平台服务器均位于境外,进行彻底的打击可能具备一定难度。
图3-3-2-2 完全杜撰的“维卡币”传销诈骗境外团伙创始人介绍
3.3.3 高通币
3.3.3.1 现象
近几个月,互联网上又出现一种声称基于“区块链技术”的虚拟货币,该传销团伙声称,“高通币”是由数字货币爱好者发起组建的Gotone Coin(高通币)团队研发并运营的一款加密数字货币,“基于全球最受瞩目的区块链技术,将最领先的科技与实体互联网应用相结合:共享CDN模式先驱带宽资源与数字资产完美结合”,但其实质一如章节3.3中所提到的,为复利拆分盘骗局的“互联网化”新变种。
3.3.3.2 作案方式
“高通币”传销诈骗团伙设计了“高通币”的相关交易平台、体系及“挖矿”规则。其声称,通过平台注册激活“送一台价值1500元矿机”,购买一台1500元的矿机送520个“高通币”,而云端服务器会实现24小时自动挖矿。同时,其具备符合传销特质的推荐人制度:
o直接邀请一名好友加入,用户“矿机”的产能将增加8%;
o好友邀请一名他的好友,用户“矿机”产能将增加3%;
o其好友再邀请一名好友加入,用户“矿机”产能将增加1%。
从行为上来看,其已经涉嫌违法国务院《禁止传销条例》;而从其该传销诈骗团伙对于该“虚拟货币”的规则设定行文、各类宣传文案及官方网站的编写、制作来看,也都不难发现存在十分粗糙之处,缺乏严肃性的同时也令人对其诈骗团伙伪装的有效性、诈骗行为的受害面产生怀疑,例如:
o下图所示其“后台控制面板”,用了“第1世纪全球矿石包”等显得十分随意的设定表述;
o另一截图中其平台公告,可以发现其行文十分口语化且随意; o官方网站http://cn.gtc.la 使用了通用的建站模板,并未作任何内容修改;
o交易平台http://www.gtc666.com/Home/Index/index.html 则简单伪装为某公司后台,且后台制作简陋。
图3-3-3-1 “高通币”管理后台
图3-3-3-2 行文口语化且随意的“官方公告”
在其“管理后台”中,还存在“实名认证”机制,需要受害者提供证件照片、身份证号、银行卡号等重要信息,可能造成用户隐私直接泄露,继而导致不明确的金融风险,如下图。
图3-3-3-3 “高通币”后台实名认证涉及隐私二次泄露
3.3.3.3 团伙背景
针对“高通币”并无明确公司实体存在的状况,安天移动安全情报分析团队从其涉及的域名基础设施入手,试图挖掘其团伙背景。
其官方域名gtc666.com的Whois域名信息显示,其归属注册人为Huang Xu,注册E-Mail为,如下图。
图3-3-3-4 gtc666.com Whois 域名信息
在互联网公开情报中挖掘该域名相关信息,发现该域名是在国内某域名交易网站成功交易的“免备案域名”,即已有备案信息的合法域名过期注销后,由域名代理抢注并以“免备案即可使用”名头出售的。该域名的原备案公司即gtc666.com后台标题中伪装的“北京国泰彩信息科技有限公司”,应与该传销组织无关。
图3-3-3-5 国内某域名交易网站gtc666.com的交易记录
通过同E-Mail地址挖掘,发现Huang Xu还注册了另一域名8gtc.com,该域名显示页面同样只是一个模板经过简单修改为“GTC网络”。
对其后台(即交易平台)登陆界面进行代码查看,发现该团伙号称“停止注册”仅仅是在页面中使用了 将注册链接屏蔽,显得技术较为薄弱。
图3-3-3-6 “高通币”后台的停止注册屏蔽方法
从其报错信息也可以发现,该团伙声称具备诸多功能,涉及矿机、云计算、带宽分配等多项庞大底层功能的系统只是基于ThinkPHP与虚拟主机构建的,属于彻头彻尾的骗局。
图3-3-3-7 “高通币”后台错误信息
通过“高通币”首页下方的ICP备案号“豫ICP备号”进行相关信息查询,可发现8gtc.com的备案网站名称与8gtc.com首页标题相同,而8gtc.com也为“高通币”传销诈骗团伙实际控制,备案人姓名为易晓梅(河南省),应为经过权威部门校验的真实信息,应为“高通币”传销诈骗团伙的重要成员之一。
图3-3-3-8 8gtc.com工信部备案信息
3.4 金融互助类
这种模式与3.2中所提及的复利拆分盘具备一定相似度,实质上仍然是以“资金池”开设复利盘,但一般“金融互助”的传销诈骗组织声称,其行为是通过为他人提供资金帮助而获得回报,通过“慈善帮助”的概念,能够使获得收益的用户不断的为某一“互助”资金池投资,保证互助系统正常运转,且兑现收益后可使用利息复投或者本息一起复投。但这种行为本质上与早年的MMM金融互助组织(俄罗斯人谢尔盖·马夫罗季最先创立的传销诈骗模式)并无区别,属于明确具备传销性质的金融诈骗行为。
图3-4-1 “MMM中国金融互助”传销诈骗网站首页
由于调查取证的不便,当前从宏观层面整治互联网金融互助的传销骗局尚存在一定难度;但也应当看到,这种毫无新意的骗局并不难以识破,受害者对于暴利收益的贪欲,也是此类骗局不断涌现、长期存在的重要因素。 据安天移动安全情报分析团队分析总结,金融互助类传销诈骗活动往往具备以下共性特点:
o以“人与人之间的帮助”为宣传核心,降低受害者戒心,同时促使受害者发展下线;
o需要花费一定金额购买“注册激活码”或“会员资格”入门;
o投资频率、投资金额与返佣直接挂钩,适用于“上线”及其“下线”;
o利率及收益率往往较高,不仅超过法律规定,更违反常理,如某国内WPP传销诈骗案中其声称月收益率高达45%。
3.4.1 人人公益 (已破案)
人人公益是一个名义上借助慈善活动造势,但实际通过购买“爱心”“拉人头”获返利等诱骗方式组织、领导传销犯罪活动的平台。该团伙2017年3月被捣毁时,自我粉饰为“一家‘互联网+公益+奖励’的平台公司……链接衣、食、住、行、教育、购物、旅游、医疗、娱乐等各大行业”。
“人人公益”宣扬一种消费奖励模式,消费者(称为公益天使)在平台上注册后,在注册的“公益联盟商家”消费就可以拿到返利;同时,该公司的业务员为拉客,故意露出“破绽”,诱导客户以商家和消费者的身份同时进驻。这样,不需真正消费,就可实现返利,消费多少全凭商家录入系统,在该平台上其实不存在任何真实交易,而高额返利其实就是用后加入的人的投资来返利给先加入者,实质上还是属于庞氏骗局的一种。
同时,为了扩大传销活动的影响面,该平台还设计了多个合伙人级别,上级可以从下级提成,一层一层剥削,形成清晰的传销架构。该公司宣称每获利100元,拿出1元做公益,但在办案过程中经警方核实,所谓的公益项目全是虚构的“幌子”。其实际业务只有空对空的传销业务。
值得注意的是,相比其他精于对内的传销诈骗组织,“人人公益”团伙不仅专门设计了官方网站、开发了App与微信公众号,还设有企划部、新媒体运营及 “段子手”等职位,以段子的方式来进行其组织宣传,以扩大影响力,便于发展会员;就案件过程中反映出来的受害者数量及涉及金额来看,此种做法确实起到一定成效。这也给一般用户及相关行业用户敲响一记警钟,即当前传销诈骗组织已不仅仅擅长于粗暴地“洗脑”、“概念灌输”,而可能结合一些巧妙的媒体运营方式来进行具备诱惑性的宣传,诱使受害者上当受骗。
3.5 支付及理财类
支付工具及互联网理财,作为用户使用移动端设备或通过互联网直接发生的金融活动,一直以来都是各类诈骗行为、病毒木马的觊觎;而作为直接对金钱(法币)数额及稳定性产生影响的应用App,支付工具及理财App往往具备以极小的额外利润驱使用户去实施某样行为的能力,其最典型则可体现在各类“羊毛党”及“红包党”两类人群身上。
传销诈骗语境下的支付及理财类App,正如上一段文字所述,利用的即是用户往往不具备底线的“逐利”心理,利用“推广分润”、“发展下线分润”、“购买理财产品分润”、“平台购物全返”等充满诱惑性的业务功能诱使用户加入平台,发展下线。
借助支付及理财相关业务开展传销诈骗活动的平台,往往具备以下特点:
o推广业务过程中,进行无限层级分润(佣金返还);
o存在“大额返现”、“全额返现”等不切实际的承诺;
o往往不具备应有的第三方支付牌照,或声称拍照与企业实体不符;
o往往同时涉及非法信用卡套现等“金融毒瘤”业务。
3.5.1 信掌柜
3.5.1.1 现象
图3-5-1 “信掌柜”推广海报,其上具有“天下谷集团”字样
“信掌柜”是一款由深圳市天下谷电子商务有限公司开发的第三方非银行支付平台。其声称具备聚合支付的主要功能,能够实现刷卡支付、清算、转账等第三方支付软件功能,并能够借助软件平台辅助客户管理维护其信用(实际反映为黑户下卡、提额、套现、贷款下款等)。
2017年6月,国家互联网金融安全技术专家委员会曾发布《“全国互联网金融阳光计划”第三周对投资者声音的反馈》。公告表明,“信掌柜”宣传其开展第三方支付业务及相关产品,但其经营主体(深圳市天下谷电子商务有限公司)第三方支付资质存疑,该平台涉嫌无资质开展第三方支付业务;且根据长期以来“信掌柜”受害用户的反馈汇总,不仅其存在交易金额无限分润的情况,其加盟商户的各层级(大于3级)中也存在层级推广,且按照下线层数及个数进行返佣的情况,本身也存在属于传销诈骗行为的较大可能。
同时,该公司经营过程中还涉及与持牌第三方支付公司“广州合利宝支付科技有限公司”及“北京恒信通电信服务有限公司”勾结,为其最终客户提供公用事业支付通道套现,虽不属于传销诈骗范畴,但也属于其业务开展过程中存在的问题,故此一并指出。
3.5.1.2 作案方式
“信掌柜”在推广过程中,采取了无限层级的“合伙人(也即下线或营销层级)”,以及与之相应的无限层级“交易分润”及“下线返佣”两种模式,如下所述:
“下线无限层级返佣”模式:
o一级合伙人发展二级合伙人,一级合伙人获利5000元;
o二级合伙人发展三级合伙人,一级合伙人获利4000元;
o以此类推往下发展的所有层层级,一级合伙人都可获利4000元。
“交易无限层级分润”模式:
o二级合伙人刷卡费率为万分之十,以及合伙人获分润的20%;
o三级合伙人刷卡,二级合伙人获分润的20%,以此类推;
o一级合伙人能获二级合伙人所有下线刷卡万分之五的利润;
o二级合伙人能获三级合伙人所有下线刷卡万分之五的利润,以此类推。
事实上,作为第三方支付工具而言,无论出于何种目的,设立以发展下线为目的的推广政策都存在潜在的较大风险,较易导致其失去本身作为第三方支付工具的存在意义及价值;而在推广体系中允许“无限层级”的下线,以及官方设立无限层级的“分润”、“返佣”,则更是直接从性质上点出了其有很大可能涉及传销诈骗行为。
3.5.1.3 团伙背景
根据互联网公开情报搜集及对其官方网站http://www.xinzhanggui.net历史页面(现已无法访问)的检索及挖掘结果,安天移动安全情报分析团队发现除“深圳市天下谷电子商务有限公司”之外,还存在以下企业与“信掌柜”具备联系:
o河南信掌柜科技发展有限公司
o河南天下谷科技有限公司
o河南天下谷企业管理咨询有限公司
其中,“深圳市天下谷电子商务有限公司”官方网站为http://www.txguu.cn,法人为张富强,公司注册地址为深圳市福田区沙头街道泰然七路车公庙工业区206栋东座3层378,公司注册时间为日;
“河南信掌柜科技发展有限公司”与“深圳市天下谷电子商务有限公司”官方网站相同,法人为雷波,公司注册地址为河南自贸试验区郑州片区(郑东)金水东路33号美盛中心1701号,公司注册时间为日;
“河南天下谷科技有限公司”与“深圳市天下谷电子商务有限公司”官方网站相同,法人为梁珠山,公司注册地址为郑州市郑东新区金水东路33号美盛中心1701号,公司注册时间为日。
“河南天下谷企业管理咨询有限公司”官方网站为http://www.txgpay.com,法人为范朋鸽,公司注册地址为郑州市郑东新区金水东路南、农业东路西1号楼17层1701号,公司注册时间为日。
上述若干公司实体之间,雷波同时担任了“深圳天下谷”与“河南信掌柜”的高管职务;而范鹏鸽(范朋鸽)则担任了“河南信掌柜”、“河南天下谷”的管理职位,同时与“张富强”一起担任“河南天下谷企业咨询”的管理职位。
对天下谷系列企业的官方网站域名txguu.cn进行Whois域名信息查询,结果如下图,发现txguu.cn的归属人为梁珠山,而这一域名是上述企业几乎共用的官方网站域名,应属于系列公司的核心对外门户:
图3-5-2 txguu.cn域名Whois信息查询截图
同时,对“河南天下谷企业管理咨询有限公司”官方网站域名txgpay.com进行Whois域名信息查询,发现其归属人也为Liang Zhu Shan(梁珠山),如下图:
图3-5-3 txgpay.com 域名Whois信息查询截图
故此,鉴于如章节3.5.1.2中所述“信掌柜”平台的运作模式,若判断其为传销诈骗行为,则其团伙核心成员必然由雷波、范鹏鸽(范朋鸽)、张富强及梁珠山四人构成(可能包含其他成员)。
3.6 电信业务类
电信业务作为各类诈骗事件大多涉及的一项元素,在传销诈骗类犯罪活动的语境内,往往作为一项“幌子”而存在,披着电信分销或“企业电话”等运营商业务的名头,行传销诈骗之实;虽然有时传销诈骗组织也会实际为受害者提供一定的电信业务(免费拨打、免费短信等,如章节3.6.1中“芸生仙子”案例与3.1.1.3中的“优畅神讯”网络电话),但往往不具备稳定性或可用性,且本身电信类业务根据商务部,工商总局2016年第7号文《关于直销产品范围的公告》,并不包含在规定合法的6类直销产品中。
这一类传销诈骗一般具备以下几类特点:
o声称自己资质齐全、能力雄厚,与移动电信联通紧密合作推出业务,甚至称自己是“第四大运营商”;
o对加入的受害者收取“入门费”,同时以一定返佣政策促使其发展下线;
o网站及域名数量繁多,大多未经备案;
o往往不具备正规公司实体,同样也不具备ICP经营许可证。
3.6.1 芸生仙子/国通通讯
3.6.1.1 现象
自2015年起,一家名为“国通通讯”的企业以网络电话为名,在我国国内实际开展传销诈骗活动。
图3-6-1 国通通讯宣传单页及实体店铺
该公司宣传称加入会员后,能够实现“长途市话免费打”,但实际受害者反馈,只几天后便无法使用,但入门“会员费”及各级会员的“升级费”同样不予退还,是典型的利用通讯软件为幌子骗取入门费及会员费的行为,属于较为明显的互联网新型“电信业务类”传销诈骗。但值得一提的是,自2015年底至今,虽然其承载业务的App“国网今来”及“芸生仙子”均已下线无法使用,且“国通通讯”传销诈骗组织在国内遭到多次专项打击,但媒体报道、相关受害者维权的消息以及线上活跃的推广组织仍然络绎不绝,显得该诈骗团伙有“屡禁不止”的态势。
图3-6-2 国通通讯线上推广渠道至今仍然活跃(QQ群截图)
3.6.1.2 作案方式
“国通通讯”在推广过程中,结合了线上、线下渠道的推广方式,尤其针对中老年人,谎称自己为“中国第四大电信运营商”,以“国”字头公司名称骗取防范心较弱用户群体的信任,继而诱骗其缴纳“入门费”,成为其用户。
在层级的设立上,“国通通讯”传销诈骗组织巧立名目,吸引用户分别交纳200元、1000 元、5000 元、10000元,成为相对应的文字版、语音版、视频版、商城版客户;其中语音版、视频版、商城版的客户可获得发展其他人员加入的资格。而该经营模式的返佣模式,则对一般用户具备较大吸引力:
o语音版和视频版客户端客户从其直接发展的人员交费中提取30%作为佣金;
o(最初)商城版客户端从其直接发展的人员交费中提取30%作为佣金,并仍可从其直接发展人员所发展的人员交纳费用中提取5%作为报酬。
据2016年下旬相关受害者所反馈的信息,发展新会员加入“国通通讯”,其上线仍然可获得28%返佣,并且让新会员填写业务受理单还可再获得5%返佣。这种返佣推广高于其具体业务本身的模式,即使其设计之初目的并不是传销,也极易在多层级的推广中演化为传销诈骗行为,遑论“国通通讯”运营公司本身就是经过定性的传销诈骗组织。
其中,可能考虑到“国通通讯”其企业实体并不具备直销资质,在开展传销诈骗活动的过程中,其也与海南一家名为“芸生(海南)健康产业有限公司”的企业建立了租借直销牌照的合作关系,同样遭到媒体屡次曝光。
图3-6-3 国通通讯租借芸生直销牌照相关报道
3.6.1.3 团伙背景
根据互联网公开情报检索分析,安天移动安全情报分析团队发现,“国通通讯”运营公司实体的全称为“南京国通通讯科技有限公司”。通过国家企业信用信息公示系统进行查询,可发现该公司法人为张以众,公司注册地址为南京市浦口区大桥北路1号华侨银座1502室,公司成立于日。通过对法人张以众名下的公司进行挖掘,我们能够得到其与“国通通讯”相关公司的关系,如下图:
图3-6-4 张以众名下公司关系图(部分)
由图及其他外部信息进一步挖掘分析可知,张以众除了具备“南京国通通讯科技有限公司”法人身份之外,还在以下公司担任高管职位(包括但不限于):
o国通通讯科技有限公司
o北京国网今来国通科技有限公司
o北京国网今来科技有限公司
o山东国通通讯设备有限公司
o江苏国通国际大酒店有限公司
o江苏国通梦想岛游乐园有限公司
o宿迁国通之声文化传媒有限公司
o海南芸生国通电子商务有限公司
鉴于以上公司都具备“国通”关键词,与“国通通讯”这一传销诈骗平台具备高度相关可能,且上述公司至成文时(2017年12月底)仍保持良好存续、开业状态,能够得出“‘国通通讯’传销诈骗组织很大可能未被彻底捣毁,其背后控制者亦未受到应有处理”的结论。
根据上述对本年度国内移动端传销及组织诈骗类活动的整体威胁态势分析,以及对各传销诈骗行为的名义业务类型的典型分析结果,不难发现,尽管近年来公安机关及相关政府部门不断加大对各类传销行为,尤其是涉及互联网的新式传销诈骗行为进行打击整顿,但每年仍有大量受害用户遭受数字总和惊人的各色互联网传销骗局。与此同时,传销诈骗团伙的诈骗手段亦在不断升级,不仅将传统基于商品的传销手法照搬到了互联网上,更是融合了近年来诸如虚拟货币、手机游戏、在线兼职、“微商”等容易使一般用户产生兴趣继而毫无戒心上当受骗的领域。
然而,即便诈骗手法在变,诈骗场景在变,万变不离其宗的是这些行为的传销本质。本报告的目的也即是如此,希望本着安天一贯的社会责任价值观,通过对当前不同类别的互联网传销诈骗行为,尤其是移动端互联网传销诈骗行为进行分类深层次剖析,使得其根本的传销行为核心能够通过相关报告章节,更完备地呈现在用户及相关行业客户面前。
正所谓“不知其攻,焉知其防”,对于一般用户来说,只有对这些较为新型的诈骗手段具备理性及感性认识,才能够在遭遇此类诈骗事件时具备辨别能力;而对于行业客户来说,对当前可能或已经构成既成传销诈骗类犯罪案件的组织、个人及其行为表象、运作模式等各细节方面深入了解,不仅对业务上可能起到直接且可观的帮助,也有助于提高实际业务人员对于类似的、本报告中未提及或之后新兴出现的传销诈骗手段的敏感度,起到“知己知彼,料敌先机”的作用。
附录1:名词解释
庞氏骗局:Ponzi scheme,一种非法性质的层压式推销,其最著名的、成熟的代表案例发生于20世纪初的美国,而各种类似变体至今依旧存在世界各国金融市场中。其运作模式为参与者要先付一笔钱作为入会代价,而先前投资者所赚的钱是来自其他新加入的参加者(“下线”),而非公司本身透过业务所赚的钱。初期通常在短时间内获得回报以利于推行,再逐渐拉长还款时间。随着更多人加入,资金流入不足支出,当现金总量庞大时尚不足以崩溃,甚至也可以正常投资事业来持续运作,但直到骗局泡沫爆破时,最下线的大量投资者便会蒙受金钱损失。
“传销”:我国境内一般语境下的“传销”行为往往具备庞氏骗局(Ponzi Scheme)的特征,事实上属于一种诈骗行为,具体指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格。随着更多人加入,“传销”组织的资金流入必然不足以供给支出,导致其骗局泡沫破灭。这不仅给处于“下线”的大量受害投资者带来往往难以估量的金钱损失,也对维持社会道德风尚、政治经济秩序稳定带来极大负面影响。
“北派传销”:北派传销属于非法传销活动的一种,由于最初在东北一带发源而得名。其往往打着“直销”、“网络营销”、“人际网络”等旗号,属于低端传销,上当受骗的人年龄往往较小,20岁左右的年轻人居多,毕业或者未毕业的大学生占有很大的比例。其主要特征是异地邀约,吃大锅饭、睡地铺,集中上课,以磨砺意志为假象,条件比较艰苦。有的组织有控制手机、非法拘禁等限制自由的情况;其以“三商法”、“五级三阶制”等为制度,需要缴纳一定金额的上线款;一般假冒一家公司,以卖化妆品或者保健品为名,实际上产品只是一个道具,都是一些三无产品或根本无产品,且传销组织名称比较杂乱。近年来,北派传销受南派“资本运作”高端传销影响,洗脑手段升级,传销理论向南派学习,投资金额也越来越大。
“南派传销”:南派传销属于非法传销活动的一种,由于发源地最初在广西来宾、玉林、南宁、北海一带,且与传统“北派传销”手法及诈骗金额等多方面往往大相径庭而得名。其一般声称自己为“连锁销售”、“自愿连锁经营业”、“纯资本运作”、“商会商务运作”、“民间互助理财”等旗号,属于异地传销的升级版,参与者以三四十岁有独立经济能力的人为主,往往许多具备身份地位的受害者亦深陷其中。其运作的主要特征是以考察项目、包工程、旅游探亲为名把新人骗到外地,然后以串门拜访为由一对一洗脑,打着“西部开发”、“北部湾开发”、“中部崛起”的旗号,以“国家项目”、“国家暗中支持”为幌子,传销理论更完善,更具欺骗性与迷惑性。近年来,其由最初的“连锁销售”挂靠一家虚拟的公司卖产品为名,到“纯资本运作”打着“虚拟经济”的旗号而不讲公司和产品,使得南派传销的受害者经济损失较过去更为大。
附录2:各省份传销活动严重程度一览表
注:本表标注情况为根据互联网信息及公开新闻资讯综合统计而成的定性数据,相关领域并无权威定性/定量数据,且本表也不能作为任何形式研究的辅助及参考,敬请留意。
武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。
2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。
2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。
公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。
更多信息详见公司官网:
转载请注明来源:
伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈。针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对。早在2015年,安天移动安全就发现一例利用C#编写以逃避查杀的恶意代码,并对其进行了技术分析。
近日,安天移动安全联合猎豹移动安全实验室又捕获一例类似的病毒,该病毒使用MonoDroid框架进行开发(MoniDroid是以C#语言和部分.Net基类库为核心,使用mono虚拟机为Android平台开发应用的代码框架),MonoDroid框架开发的特点是开发者编写的逻辑代码都会最终编译在dll文件中,而不是常规的dex文件中,因而常规的反病毒检测手段对这类应用一般都会失效。此外,该病毒使用了知名应用Telegram的Bot进行通信,相较于传统的C&C域名通信具有极强的隐蔽性。安天移动安全团队联合猎豹移动安全实验室对其进行了深入分析并发布技术报告,全文如下。
一、样本信息
二、静态分析
首先从AM文件中,可以看到该病毒申请了一系列与窃密行为相关的权限:
此外,在AM文件中还看到其注册了各种receiver用来监听系统消息。
深入查看一个用来接收当有电话打入时的receiver,在该类中我们并未发现一些实际功能代码。在onReceiver函数中,其直接将Context和Intent转交给了一个native方法n_onReceive,然而尴尬的是在这个类中,我们并没有看到有loadLibrary的so文件,而这其实利用的是Mono框架实现的。
在dex文件中其他的几个类也都存在类似的情况:
MainActivity也是如此:
从以上静态分析中,可以了解到该病毒dex文件中基本没有实质性的代码,这里的原因主要来源于MonoDroid框架允许开发者在.Net平台使用C#进行开发,而这意味着我们基本不可能在dex文件中有所得。
三、恶意行为分析
该病毒的核心恶意模块为google.tools.dll文件,通过对该文件进行反编译后获得该病毒的核心恶意行为。该病毒的整体攻击流程如下图所示:
Step1:自我隐藏并初始化Telegram Bot
当用户安装应用后,该病毒首先通过MainActivity的onResume()方法,弹出虚假提示框告知用户该程序无法运行并自动卸载,卸载完成后自动隐藏图标,为后续的恶意行为不被发现做好铺垫。而这也是当前常见的恶意代码自我隐藏的主要方式。 隐藏完毕后,该病毒启动下述服务,首先进行了语言识别,针对非英文语言环境会默认显示波斯语。
mainservice中包含部分组件设置、绑定以及Telegram Bot API(后文简称TBA)模块的初始化相关的行为:
值得一提的是,该病毒设置了定时器对相关核心恶意服务是否存活进行监控,如果挂掉了,就重启之。
此外,该病毒还另外注册了两个Telegram的消息回调函数。在这里再次暴露了其通过利用知名应用Telegram提供的框架实现某些重要功能的意图:
Step2:远程控制设备
在此之前我们也曾发现过一些使用TBA进行通信的样本,本次发掘的样本基本采用纯TBA进行通信,该病毒的远控的行为设计的十分完备,关键操作(文件增删、关键服务的启闭、关机重启被控端、卸载自身等)都需要主控端二次确认操作,分发起操作和确定操作两步。在文件管理功能方面基本上做到了PC端的远控的水平,集合了文件预览、上传、下载、移动、重命名等诸多功能。对于被控端的短信,来电等内容,在主控端可以做到“消息实时推送“级别的接收响应,另外这些功能都可以通过主控端随时进行开闭操作。同时主控端可以控制被控端设备的关机、重启(该功能需要被控端是已经被root的设备,该病毒自身不拥有提权功能),主控端可以随时发起被控端卸载该病毒、实时开启摄像头拍照、实时屏幕截图(需root)、获取实时地理位置信息。
总的来说这款病毒在软控功能上设计的十分完善,主控端和被控端的可以进行灵活的交互,这点大大区别于其他普通的Android病毒,这在一定程度上得益于TBA提供的各种完善的网络传输方法。
android.os.CTRLCB类的CTRLMESS()方法中包含了所有控制指令,整理如下。基本上所有上述指令中具体相关功能都在android.os.DoWork中有所实现。
Step3:Root模块检测
由于远控行为中包括的远程开机、重启、屏幕截图等功能的实现需要设备的Root权限,因此在相关功能执行前,该病毒会先进行Root模块的检测,确认设备是否已经Root。如果已Root,则通过申请Root权限进行相关恶意行为的实施:
Step4:设置定时操作
该病毒还特别创建了定时操作线程,按照规定的时间间隔进行恶意行为的执行,定时操作分别为:每小时执行对所窃取的隐私信息存放的缓存空间的释放工作;每五秒执行一次,检查采集地理位置的Service是否还在工作:
而上述定时执行的线程还负责对获取到的隐私信息的定时上传:
Step5:监控亮屏行为激活守护主恶意服务
亮屏动作的捕获主要是为了实现对主恶意服务mainservice的存活守护,结合上述的定时执行线程以及定时服务探活和激活的逻辑,都足以看出该病毒开发者对保护自我服务的“用心”:
Step6:其他隐私信息窃取
(1)窃取手机图片
通过onStartComand方法,启动一个服务去定时获取手机存储中的所有图片类型的文件:
该病毒专门对此服务设置了定时器去进行“服务守护”,如果服务挂掉,重启之。
**(2)监听短信模块 **
从+98编码可以看出,该病毒的活动范围为某中东地区。此外,该病毒还会监听短信发送行为:
**(3)窃取通话录音记录 **
**(4)利用相机拍照 **
**(5)获取通讯录 **
**(6)窃取来电记录 **
监视网络变化,上传通话记录,守护恶意服务:
**(7)获取地理位置 **
四、事件分析
从我们捕获到的样本上来看,该病毒基本上都是伪造的工具类应用,包名google.tools、System.OS也非常普遍,我们很难从这些地方发掘出可能的攻击对象和目标群体属性。 但是根据在应用中出现的波斯语设置以及在短信监听中出现的+98国际区号的线索,我们推测出,该病毒的活跃地区应该是某中东国家。此外,在分析的过程中我们发现了一个疑似主控端Telegram的账号主页:https://telegram.me/Qhack。该主页账号指向的是Telegram的某位用户账号“Qhack”。我们在Telegram上搜索这个用户,结果如下:
从第二张图片中,我们可以发现这个账号在1小时前还在线,但是个人信息中并没有什么内容,因此推测这可能只是一个用来作为主控端的僵尸账号。 通过样本关联,我们在这批样本的其中一个签名下关联到一种不同的样本,但是都是使用MonoDroid框架编写,类名、方法名命名极为相似,都有伪装卸载后台隐藏图标启动恶意服务的行为,但是编写较为粗糙,虽然也进行了部分隐私信息的窃取,但并未如前面所分析的使用Telegram进行通信,而只是简单的使用http的方式进行通信,通信的IP为148.251.203.5、148.251.32.113,其中一个样本名为“电报技巧”(Telegram的译名就叫“电报”),同样也是活跃在波斯语的使用地区,推测这类样本可能是早期的产物。
一代样本:
二代样本:
从技术手法上来看,使用C#开发Android应用不多见,推测攻击者可能是精于Windows开发的技术人员,当然也不排除是故意为了混淆视听或是规避杀软检测而为之。从代码结构上来看,其模块划分比较明确,组织结构安排的也较为合理,同时其通信过程完全使用TBA,与TBA配合的远控行为逻辑和功能设计也颇有特色,从这些角度看来该攻击组织具备相当不错的技术水平。
该病毒采用C#编写,通过将逻辑代码编译在dll文件中而不是常规的dex文件中来规避常规的恶意代码检测机制。此外,该病毒使用了知名应用Telegram的Bot进行通信,进一步增强了其隐蔽性。这说明恶意开发者有一定的反查杀意识和能力。在此基础上,该病毒建立起了一套完整的远程控制体系,涵盖了各种远程控制恶意行为,包括对各种设备硬件信息采集、文件管理(文件和文件夹预览、移动、删除、重命名、上传、下载)、短信实时监控、通话记录实时监控,以及截屏、通话录音、图片、账户、和地理位置实时获取、远控摄像头拍照等等,极大程度上侵犯了用户的个人隐私信息安全,具有非常强的危害性。
对此,安天移动安全联合猎豹移动安全实验室已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动反病毒引擎的安全产品,定期进行病毒检测,保护个人信息安全。
武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。
2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。
2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。
公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。
更多信息详见公司官网:
转载请注明来源:
更多技术文章,请关注AVL Team官方微信号
一、背景介绍
近日,Android平台被爆出“核弹级”漏洞Janus(CVE-),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。 众所周知,Android具有签名机制。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。但如果恶意攻击者用另一把私钥对APK签了名,并将这个修改过的APK对用户手机里的已有应用升级时,就会出现签名不一致的情况。因此,在正常情况下,Android的签名机制起到了防篡改的作用。
但如果恶意攻击者利用Janus漏洞,那么恶意攻击者就可以任意地修改一个APK中的代码(包括系统的内置应用),同时却不需要对APK进行重新签名。换句话说,用这种方式修改过的APK,Android系统会认为它的签名和官方的签名是一致的,但在这个APK运行时,执行的却是恶意攻击者的代码。恶意攻击者利用这个修改过的APK,就可以用来覆盖安装原官方应用(包括系统的内置应用)。由此可见,该漏洞危害极大,而且影响的不仅是手机,而是所有使用Android操作系统的设备。
目前,Google将该漏洞危险等级定义为高,其影响Android 5.1.1至8.0的所有版本。基于多年以来针对移动端漏洞的技术积累和安全对抗,安天移动安全对Janus高危漏洞进行了紧急分析,并发布技术报告,全文如下。
二、漏洞原理
ART虚拟机在加载并执行一个文件时,会首先判断这个文件的类型。如果这个文件是一个Dex文件,则按Dex的格式加载执行,如果是一个APK文件,则先抽取APK中的dex文件,然后再执行。而判断的依据是通过文件的头部魔术字(Magic Code)来判断。如果文件的头部魔术字是“dex”则判定该文件为Dex文件,如果文件头部的魔术字是“PK”则判定该文件为Apk文件。
另一方面,Android在安装一个APK时会对APK进行签名验证,但却直接默认该APK就是一个ZIP文件(并不检查文件头部的魔术字),而ZIP格式的文件一般都是从尾部先读取,因此只要ZIP文件尾部的数据结构没有被破坏,并且在读取过程中只要没有碰到非正常的数据,那么整个读取就不会有任何问题。
总而言之,Android在加载执行代码时,只认文件头,而安装验证签名时只认文件尾。
因此只要构造一个APK,从其头部看是一个Dex文件,从其尾部看,是一个APK文件,就可以实施攻击。很容易想到,将原APK中的classes.dex抽取出来,改造或替换成攻击者想要执行的dex,并将这个dex和原APK文件拼起来,合成一个文件,就可以利用Janus漏洞。
当然仅仅简单地将恶意dex放在头部,原apk放在尾部合起来的文件还是不能直接用来攻击。需要稍作修正。对于头部dex,需要修改DexHeader中的file_size,将其调整为合并后文件的大小。另外需要修改尾部Zip,修正[end of central directory record]中[central directory]的偏移和[central directory]中各[local file header]的偏移。
当然,Janus漏洞是针对APK文件的攻击,因此v1签名无法抵御这类攻击,而v2签名可以抵御。
三、漏洞利用
图1 攻击文件拼接原理
具体的漏洞利用分为3步:
1.从设备上取出目标应用的APK文件,并构造用于攻击的DEX文件;
2.将攻击DEX文件与原APK文件简单拼接为一个新的文件;
3.修复这个合并后的新文件的ZIP格式部分和DEX格式部分,修复原理如图1所示,需要修复文件格式中的关键偏移值和数据长度值。
最后,将修复后的文件,重命名为APK文件,覆盖安装设备上的原应用即可。
四、漏洞修复
1.Google官方修复方案
对文件system/core/libziparchive/zip_archive.cc打上如下patch
2.修复原理
打开ZIP格式文件时,多做了一项校验,也就是检测文件的头部是不是以‘PK’标示打头。如果是,则进行正常的逻辑,否则认为该文件不是一个合法的ZIP格式文件。
Android平台上的应用签名机制是Android安全的基石。Android平台的permission机制完全依赖于应用的签名,签名机制一旦突破,所有基于Android permission构建的安全体系将崩溃。而Janus漏洞已经不是Android平台的第一例签名机制漏洞了,之前由“Bluebox”发现的Master Key漏洞和“安卓安全小分队”(安天移动安全上海团队前身)发现的第二个Master Key漏洞都是利用签名机制的漏洞,其原理是利用Android的代码中对APK验证不充分的缺陷,使得应用在安装时验证的是原dex,但执行的是另一个dex,从而达到瞒天过海、偷梁换柱的目的。
Janus漏洞的利用在原理上也类似,它将恶意dex和原apk拼接在一起,安装验证时验证的是原apk的dex,而执行时却是执行恶意dex。修复这类漏洞的原理也很简单,就是加强安装时的验证,避免不合法应被安装到系统中。针对Janus漏洞,只需简单验证一下apk文件的头部是不是‘PK’即可。如果不是,则该apk 文件一定不是一个正常的apk文件。
Janus漏洞再一次提示我们,即使像Google这样的跨国科技企业也难免在签名验证这么关键的环节上多次产生漏洞,特别是Janus漏洞从2014年就已经存在,潜伏长达3年之久,并且从Android 5.1-8.0版本都存在这个漏洞。这说明了安全问题有时是极其隐蔽的,暂时未发现安全问题,不代表安全问题不存在;更说明了安全是动态的而不是静止的。因此安全防护是一个工程化体系化的持久战,很难通过单次或短期投入就将安全问题一次性解决,在安全方面只有持续而坚定地投入,一旦发现风险或者漏洞就要以最快的速度及时修复,只有这样才能保证系统安全而稳定地运行,最大程度地规避风险和损失。
附录:技术参考
要理解Janus高危漏洞的原理,首先需要掌握一些基础知识:ZIP文件结构、DEX文件结构和Android APK签名机制。
1. DEX文件结构
图2 dex文件格式
Dex文件有很多部分组成(如图2),其中Dex Header最为重要,因为Dex的其他组成部分,都需要通过这个Dex Header中的索引才能找到。 Dex Header内部结构如下:
图3 dex header 结构
在Dex Header中(如图3),file_size规定了整个dex文件的总大小。因此,如果想在Dex文件中隐藏一些额外的数据的话,最简单地,就可以将这些数据追加到Dex文件末尾,然后再将file_size调大到合适的值即可。
2. ZIP文件结构
ZIP文件可以通过获得文件尾部的End of central directory record(EOCD record)获取central directory,遍历central directory中的每项记录得到的file data即为压缩文件的数据。
表1 ZIP文件结构
如表1,读取ZIP文件时,会现从最后一个记录区end of central directory record中读取central directory的偏移,然后遍历central directory中的每一项,获取每个文件的 local file header,最后通过 local file header 获取每个文件的内容。 End of central directory record结构体如下:
表2 End of central directory record结构
该结构(如表2)中的offset of start of central directory with respect to the starting disk number,指向了central directory的位置。 Central directory结构体如下:
表3 Central directory结构
该结构(如表3)中的relative offset of local header,指向了每个文件的Local File Header的位置。
因此,如需在ZIP文件中隐藏一些数据,可将这些数据简单添加到头部,然后修改End of central directory record中central directory的偏移。同时修改每个central directory中的Local File Header的偏移即可。
3.Android APK签名机制
Android APK签名机制分为两个版本:v1和v2版本。
两个版本的签名区别在于,前者是对APK中的每个文件进行签名,如果APK中某个文件被篡改了,那么签名验证将会通不过;后者则是对整个APK文件进行签名,只要APK文件的内容发生变化则签名失效。
很显然,v2版本要比v1更加严格,安全性会高很多。 但遗憾的是,Android从7.0开始才引入v2签名。之前的所有Android系统只能验证v1签名的app,即使这个app也用V2签名了。 以下是两个版本的签名对比:
表4 v1 v2签名对比
对于android 7.0以上,系统在校验签名是会先检查是否存在V2签名方案,若存在,则通过V2签名方案对APK进行校验,否则使用V1签名方案对APK进行校验。
图4 Android v2签名流程
对于android 7.0以下的系统,不支持V2签名方案,所以APK在签名时最好将两种签名方案都支持。
武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。
2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。
2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。
公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。
更多信息详见公司官网:
转载请注明来源:
更多技术文章,请关注AVL Team官方微信号
一、背景简介
脏牛漏洞(CVE-)是公开后影响范围最广和最深的漏洞之一,这十年来的每一个Linux版本,包括Android、桌面版和服务器版都受到其影响。恶意攻击者通过该漏洞可以轻易地绕过常用的漏洞防御方法,对几百万的用户进行攻击。尽管已针对该漏洞进行了补丁修复,但国外安全公司Bindecy对该补丁和内容做出深入研究后发现,脏牛漏洞的修复补丁仍存在缺陷,由此产生了“大脏牛”漏洞。基于多年以来针对移动端漏洞的技术积累和安全对抗,安天移动安全对“大脏牛”漏洞进行了详细的技术分析,并提供了验证方案,全文如下。
二、漏洞原理分析
2.1 脏牛漏洞回顾
在分析大脏牛漏洞前,我们需要对原始的脏牛漏洞利用方式进行完整的分析理解: 之前的漏洞是在get_user_pages函数中,这个函数能够获取用户进程调用的虚拟地址之后的物理地址,调用者需要声明它想要执行的具体操作(例如写/锁等操作),所以内存管理可
