有大量女性用户发布“美照”

想要私聊？必须先充值！

一款名为 “趣住” 的手机APP

“趣住”不存在涉黄违法行为

实际上这一社交平台就是一个骗局

里面存在一万余个虚拟女性用户账号

不过是智能软件批量生成的“画皮”

骗取他人充值牟利的诈骗犯罪团伙

“趣住”在官方介绍中自称专为出差人群设计、主打差旅酒店社交 ，软件的首页直接显示附近酒店的列表，每家酒店都有专属的留言墙和聊天室，在留言墙可以浏览其他用户发布的内容并通过私密评论搭讪，也可以通过聊天室呼唤联系。

软件的用户很容易就可以找到同住一家酒店或者附近酒店且独自居住的房客，而若要进行私聊、私密评论或发布个人动态等，则需要充值购买“咚币”或充值成为“VIP会员”。

警方调查发现，软件中留言墙、聊天室、话题广场等功能区的留言大多显示为女性用户发布，内容暧昧露骨，图片文字极具诱惑、充满暗示。

被骗者张先生表示，一次出差期间，住酒店的他感到无聊，便查找交友软件，下载了这款“趣住”。页面功能和其他的交友软件都差不多，很多美女账号频繁发布一些衣着暴露、性感并带有性暗示的动态，非常吸引人。

因为无聊，张先生想找些美女聊聊天，交朋友。在这款软件上，要想跟异性私聊、评论需要花费“咚币”。他充值了人民币180元的咚币，前后搭讪了12个女性账号，就已经用完了。

聊天中，性感“美女”会发一些带有性暗示的内容，张先生也就“打情骂俏” “发一些下流的话”。但很快他发现，这些美女在聊过几次之后，就不再回复。“我觉得这款软件有问题，可能是诈骗软件。”

2人创建上万个“美女”账号

和张先生有一样遭遇的被骗者不在少数。

2021年4月初，上海警方梳理分析各类信息线索、滚动排查各类风险隐患，很快发现了这款手机软件的异常情况。

究竟是隐匿涉黄违法犯罪的平台，还是虚幻画皮下的骗局？

经查，“趣住”手机软件的开发运营公司为南京朔道信息科技有限公司，公司法定代表人为邹某某，运营负责人为陈某某。在调查过程中，警方并未发现该手机软件从事涉黄违法犯罪活动，却发现了运营方虚构“女性用户”发布暧昧信息骗取充值牟利的犯罪事实。

位于山东的犯罪嫌疑人康某某和位于天津的杨某兼职为“趣住”手机软件做代聊，使用虚构的“女性用户”账号与男性用户进行引诱性的语言互动，以此诱导对方充值消费，从中牟利。

4月9日，警方在本市将邹、陈两名犯罪嫌疑人抓获归案。随后，又分赴天津、山东、江苏等地，将该团伙其他8名犯罪嫌疑人成功抓获。

警方查明，2018年8月起，邹、陈两人开始开发运营“趣住”手机软件。 为吸引用户下载安装、提高注册量和充值额，自2020年10月起，该团伙采用技术手段在软件后台批量创建了1万余个“虚拟女性”账号，从互联网络上获取大量女性图片制成头像，并使用工具在留言墙、话题广场定期自动发布带有暗示性的个人动态及引诱性的图片，伪装成真实、活跃“女性”用户。

也就是说，用户在该手机软件上通过“附近酒店”等功能刷到的女性用户，绝大多数都是虚拟账号，只要用户发起留言、私聊，系统就会出现充值页面，充值缴费后，才可进行聊天。而一旦充值，其实就已经上当受骗，该团伙雇佣了专门的“代聊”人员在系统后台值守经营虚拟账号，和用户聊天的人并不是附近酒店的住户，而是远在千里之外的专业“代聊”。

同时，该团伙还利用技术手段，不间断提示有“女性用户”访问个人页面，诱导男性用户回访该“虚拟账号”并进行充值私聊，从而获利。

“趣住”用户竟激增10万

警方梳理相关数据发现，自上线运营以来，该手机软件累计注册用户40余万，充值金额65万余元。而就在被曝光疑似涉黄后，“趣住”在不到两天时间用户注册量增加了10.4万，充值金额达28万余元。

经警方核实，2018年8月至2020年10月，2年多时间共累积用户30.6万余人。2020年10月至2021年4月7日（相关媒体报道刊发前），用户共增长6万余人（包括虚拟账号1.9万个）。2021年4月7日至4月9日（团伙成员落网），仅2天时间用户增加10.4万余人。

目前，邹某某等3人已因涉嫌诈骗被检察机关依法批准逮捕，其余7人被依法采取刑事强制措施。

那么，“趣住”手机软件中相关酒店是否与其有合作关系？经警方核实， 相关酒店均表示对“趣住”手机软件设立与其关联的“留言墙”等事项并不知情，从未与该软件有过合作 。该团伙犯罪嫌疑人也承认没有与相关酒店合作，只是将相关知名酒店作为标记点，以此提高用户充值聊天的意愿。

趣住APP“女用户”发布性暗示等诱惑信息，实为代聊软件骗充值款

新潮的“酒店社交”，背后是精心设计的骗局；平台充满诱惑的信息，实际是智能软件批量生产的假消息。因被媒体曝光疑似涉黄，以主打差旅酒店社交的趣住APP是否存在违规一直备受关注。

6月3日，上海市公安局公布了该案的处理情况。上游新闻（报料微信号：shangyounews）记者从发布会上了解到，虽然排除了涉黄行为，但趣住APP存在虚构女性用户身份、批量发布诱惑信息、骗取他人充值牟利的诈骗行为，涉案金额65万元，警方共抓获犯罪嫌疑人10名。

▲“趣住”APP中多数女性用户信息为虚构。图片来源/上海市公安局

酒店社交软件，声称可找到同酒店独住房客

趣住APP官方介绍称，这款专为出差人群设计、主打差旅酒店社交。软件首页可直接显示附近酒店的列表，每家酒店都有专属的留言墙和聊天室，在留言墙可以浏览其他用户发布的内容并通过私密评论搭讪，也可以通过聊天室呼唤联系。

软件用户可以通过APP找到同住一家酒店或者附近酒店且独自居住的房客，但若要进行私聊、私密评论或发布个人动态等，则需要充值购买“咚币”或充值成为VIP会员。

“软件中留言墙、聊天室、话题广场等功能区的留言大多显示为女性用户发布，内容暧昧露骨，图片文字极具诱惑、充满暗示。”上海市公安局治安总队网络治安行动支队副支队长陶腾介绍，经调查发现，尽管趣住APP用户中也有部分女性用户，但活跃度并不高。

“我看到这款软件中有很多美女账号，频繁发布一些衣着暴露，性感并带有的动态，非常吸引人，所以我就想在无聊的时候找一些美女聊天，交朋友，说不定还能搞个‘一夜情’。”受害者称，在趣住APP中很多女性都带有性暗示，还发一些下流的话，感觉像卖淫女，还曾谈过价位。后期却发现同一账号会换不同的美女照片，发的动态也不像同一个人，感觉可能是诈骗软件。

▲代聊软件的留言中，有大量暧昧信息。图片来源/上海市公安局

2021年4月初，上海警方发现了这款手机软件的异常情况后，随即展开调查，究竟是隐匿涉黄违法犯罪的平台，还是虚幻“画皮”下的骗局？

陶腾介绍，经查，趣住手机软件的开发运营公司为南京朔道信息科技有限公司，在调查过程中，警方并未发现该手机软件从事涉黄违法犯罪活动，却发现了运营方虚构“女性用户”发布暧昧信息骗取充值牟利的犯罪事实。

4月9日，警方将南京朔道信息科技有限公司法定代表人邹某、陈某抓获归案。随后，又分赴天津、山东、江苏等地，将该团伙其他8名犯罪嫌疑人成功抓获。

▲有私聊需求，必须要进行充值，但只要充值就掉入了“陷阱”。图片来源/上海市公安局

专业代聊轮流值守，只要充值就上当

真实女性用户活跃度不高，那发布暧昧信息的又是谁？

警方查明，2018年8月起，邹某、陈某两人开始开发运营趣住手机软件，为了吸引用户下载安装、提高注册量和充值额，自2020年10月起，该团伙采用技术手段在软件后台批量创建了1万余个“虚拟女性”账号，从上获取大量女性图片制成头像，并使用工具在留言墙、话题广场定期自动发布带有暗示性的个人动态及引诱性的图片，伪装成真实、活跃“女性”用户。

也就是说，用户在该手机软件上通过“附近酒店”等功能刷到的女性用户，绝大多数都是虚拟账号。

“只要用户发起留言、私聊，系统就会出现充值页面，充值缴费后，才可进行聊天。而一旦充值，其实就已经上当受骗。”陶腾表示，该团伙雇佣了专门的“代聊”人员在系统后台值守经营虚拟账号，和用户聊天的人并不是附近酒店的住户，而是远在千里之外的专业“代聊”。同时，该团伙还利用技术手段，不间断提示有“女性用户”访问个人页面，诱导男性用户回访该“虚拟账号”并进行充值私聊，从而获利。

▲“趣住”APP负责人与代聊人员沟通，要求其根据要求诱导充值。图片来源/上海市公安局

自上线运营以来，该手机软件累计注册用户40余万，充值金额65万余元。在被媒体报道疑似涉黄后仅2天，注册量就增加了10.4万，充值金额达28万余元。受骗人员主要集中在20到40岁的男性。

目前，邹某等3人已因涉嫌诈骗被检察机关依法批准逮捕，其余7人被依法采取刑事强制措施。

警方提醒网络社交需谨慎，对于类似需要充值才可获得相应权限的网络社交软件尤其要提高警惕，增强抵制诱惑的意识和能力，避免掉进诈骗陷阱。

特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

ESET 最近发现了一种恶意操作，即监视受害者并泄露他们的数据。

研究人员在中东发现了一个长期的网络间谍活动，通过恶意的 "Welcome" 聊天应用对 Android 用户发起攻击，该操作似乎与名为 "BadPatch" 的恶意软件有关系，而该恶意软件又与加沙黑客威胁行动者组织 Molerats 有关系。

研究人员的分析显示，Welcome 聊天应用程序允许监视其受害者。然而，它不是简单的间谍软件。Welcome 聊天只是一个聊天应用程序，但除了它所提供的聊天功能外，它还在功能中隐藏了间谍设置。

研究人员发现这个间谍软件在一个专门的网站上向渴望聊天的用户推广 ( 这些应用在中东地区的一些国家是被禁止的 ) ( 见图 1 ) 。这个网站是阿拉伯语的，这与研究人员认为这个行动的攻击目标区域是一致的。该域名于 2019 年 10 月注册，然而，研究人员无法确定网站何时启动。

该恶意网站宣传 Welcome 聊天应用程序，声称它是谷歌游戏商店提供的安全聊天平台。这两种说法都是错误的。关于 " 安全 " 的说法，没有什么比这更脱离事实的了。该聊天平台不仅是间谍工具；最重要的是，它的运营商可以从互联网上免费获得从受害者那里获得的数据。而且该应用程序从未在官方的 Android 应用程序商店中出现过。

尽管标题说明 " 高质量，安全且可在 Google Play 上使用 "，但该按钮仍导致直接从恶意网站下载安装文件

用户下载应用程序后，需要激活 " 允许未知来源安装应用程序 " 的设置，因为该应用程序不是从 Play Store 下载的。

安装后，恶意应用程序将请求受害者允许权限，例如发送和查看短信、访问文件、录制音频、访问联系人和设备位置等权限。如此广泛的入侵权限列表通常会让受害者产生怀疑，但对于一个消息应用程序来说，需要这些权限来实现承诺的功能是很自然的。

Welcome 间谍软件的权限请求

为了能够与此应用程序的其他用户进行通信，该用户需要注册并创建一个个人帐户（请参见图 4）。

Welcome 聊天应用的注册 / 登录对话框

在收到这些权限后，Welcome 会立即将有关设备的信息发送到其 C＆C，并准备接收命令。它旨在每五分钟与 C＆C 服务器联系一次。

除了其核心间谍功能，即监视其用户的聊天通信外，Welcome 应用程序还可以执行以下恶意操作：过滤已发送和已接收的 SMS 消息，通话记录历史记录，联系人列表，用户照片，已记录的电话，GPS 设备的位置以及设备信息。

Welcome 软件是被感染了还是一开始就被设计成了木马程序？

功能性木马应用程序会引起一个有趣的问题：该应用程序是干净应用程序的攻击者木马版本，还是攻击者从头开始开发恶意应用程序？

在这两种情况下，攻击者都很容易监视交换的应用程序内消息，因为它们自然会拥有用户数据库的授权密钥。

尽管第一种选择是木马程序的典型选择，但我们认为在这种特殊情况下，第二种解释更有可能。

通常，木马应用是通过将恶意功能附加到合法应用的过程创建的。攻击者找到并下载了合适的应用程序。反编译后，他们添加了恶意功能并重新编译了现在仍然具有恶意功能的应用程序，以将其传播给所需的受众。

不过以上都是研究人员的猜测，到目前为止，我们还无法发现任何干净版本的 Welcome 聊天应用程序。不仅在我们所关注的任何 Android 市场上都找不到它；根据样本分类系统中的二进制匹配算法，我们还没有找到具有这种聊天功能的干净应用程序。有趣的是，2020 年 2 月中旬，一个没有间谍功能的干净版本的 Welcome 被上传到 VirusTotal ( hash:

这让研究人员相信，攻击者就是有意开发了这个恶意聊天应用程序。为 Android 创建一个聊天应用并不难，网上有很多详细的教程。通过这种方法，攻击者可以更好地控制该应用程序的恶意功能与其合法功能之间的兼容性，从而可以确保聊天应用程序正常运行。

Welcome 间谍应用程序似乎专门针对讲阿拉伯语的用户：默认的网站语言和默认的应用内语言均为阿拉伯语。然而，根据代码中保留的调试日志、字符串、类和唯一变量名，研究人员能够确定大多数恶意代码是从公开的开放源代码项目和公开论坛上的代码示例片段复制的。

开发人员使用不同的开源代码来创建恶意应用程序

在某些情况下，复制的开源代码很旧，具体参见表 1。作为可能的解释，所有功能示例的简单谷歌搜索结果中，所有列出的示例都排在最前面。

表 1：恶意代码的来源

Welcome 聊天应用，包括它的基础设施，并没有考虑到安全问题。该应用程序通过不安全的 HTTP 将用户所有被盗数据上传到攻击者控制的服务器。

传输的数据未加密，因此，攻击者不仅可以使用它，而且同一网络上的任何人都可以自由访问它。

该数据库包含姓名、电子邮件、电话号码、设备令牌、个人资料图片、信息和好友列表等数据，实际上，除了账户密码之外，所有用户的数据都可以上传到不安全的服务器上。

受害者的设备会将用户数据上传到应用程序的服务器

应用内消息示例，可在应用的不安全服务器上自由访问

一旦我们发现敏感信息可以公开访问，我们就会加大努力，以发现合法聊天应用程序（即，间谍工具的应用程序最终是其木马版本的应用程序）的开发者，以向他们披露漏洞。我们既没有找到开发人员，也没有找到应用程序，这使我们确信该应用程序从一开始就是恶意构建的。自然，我们不会努力与该应用程序背后的恶意行为者接触。

Welcome 聊天间谍应用属于研究人员在 2018 年初发现的同一类 Android 恶意软件，该恶意软件使用的是同一个 C&C 服务器 域名是其攻击的指标之一。

出于这些原因，我们认为使用新型 Android 木马的这一攻击来自长期 BadPatch 活动背后的组织。

虽然基于 Welcome 聊天的间谍活动的目标范围很窄，但我们强烈建议用户不要从官方 Google Play 商店之外安装任何应用程序，除非它是可信任的来源，例如已建立的安全厂商的网站或信誉良好的网站金融机构。最重要的是，用户应注意其应用程序需要哪些权限，并对任何需要其功能以外的权限的应用程序保持怀疑。并且，作为一项非常基本的安全措施，请在其移动设备上运行信誉良好的安全应用程序。