查看内容

您现在的位置：首页 → 中心动态 → 查看内容

电信网络违法犯罪中移动App的取证分析与防范对策

2021-1-12 09:39| 发布者: 龙华司鉴| 查看: 1095| 评论: 0|来自: 信息安全与通信保密杂志社

引　言

近年来，随着经济的高速发展、技术的不断进步，许多传统的违法犯罪类型逐渐向互联网蔓延，一些新型的互联网违法犯罪活动也呈现高发态势，根据公安部的数据，2019年全国共破获电信网络诈骗案件20万起、抓获犯罪嫌疑人16.3万人。在过去几年间，较为常见的电信网络违法犯罪通常包括利用伪基站进行电信诈骗、利用病毒木马盗取个人信息以及冒充政府机关工作人员实施诈骗等，随着公安机关坚持不懈的打击以及人民群众防范意识的不断提高，这些违法犯罪活动得到有效遏制，与此同时，违法犯罪人员也在手段、方法以及目标群体上不断翻新，尤其是最近一两年以来，越来越多不法人员选择利用手机移动App作为实施电信网络违法犯罪的主要工具，一定程度上增加了公安机关在打击处理和调查取证上的难度。

本文将针对当前电信网络新型违法犯罪中所使用的移动App的类型和主要特点进行分析，介绍针对不同类型移动App的取证方法，并对此类行为的防范策略进行探讨。

电信网络违法犯罪中常见的移动App类型

1.1　仿冒正规App

仿冒正规App是一种较为常见的电信网络违法手段，不法分子通常选择较为知名的手机网银、第三方移动支付、互联网金融客户端、主流社交软件等类型App，开发与其外观相似或名称相近的App，诱骗受害人下载安装并在仿冒App中输入用户名、密码、账号等个人信息，盗窃受害人银行账户或第三方支付账户中的财产；利用知名金融机构的名义骗取受害人信任，引诱受害人以投资理财或申请贷款的名义进行诈骗活动。

1.2　“套路贷”App

“套路贷”是一种主要利用互联网实施的新型违法犯罪活动，不法分子以民间借贷为名，欺骗诱导受害人下载借贷App或者P2P网贷App，诱骗受害人提供个人信息、签订借款合同向受害人放贷并收取高额利息，恶意制造违约，在受害人逾期无力偿还借款后，通过暴力催收、谩骂骚扰以及在互联网公开借款人隐私信息甚至进行敲诈勒索，这种违法犯罪活动不仅严重扰乱正常的金融秩序、给受害人带来财产损失，还对很多受害人的心理造成极大影响。

除了作为套路贷活动的签约、借款、还款平台，部分套路贷App还通过在受害人手机中索取权限获取机主的短信、通话记录、通讯录、照片视频等各类隐私信息，在未经允许的情况下收集上传，从而进行后续的催收骚扰或敲诈勒索违法行为。

1.3　“裸聊”App

“裸聊”是近一段时间以来发案频率较高的一种新型电信网络违法活动，其主要方式是以声称与受害人进行视频聊天，欺骗诱导受害人安装恶意App，录制受害人隐私音视频，收集并上传受害人手机中的短信、通话记录、通讯录、地理位置以及照片视频等各类隐私信息，不法分子获取上述隐私信息后以向被害人亲友同事传播为要挟，进行诈骗或敲诈勒索犯罪活动。

通常在此类违法犯罪活动中，不法分子主要依靠定制化的交友或视频聊天App获取受害人手机中的联系人和照片等信息，多数 App还具有录制视频并上传的功能。

1.4　网络赌博App

随着多年来的不断治理与打击，“六合彩”等赌博类违法犯罪的行为也从线下开始向线上转移，犯罪团伙在境外搭建服务器，诱导境内受害人安装网络赌博App，进行所谓“在线直播”“线上下注”等违法活动，相当数量的犯罪团伙通过操纵后台、修改数据以及直接下线跑路的方式侵吞受害人的钱财。由于上述所有投注、开奖、转账操作均通过在线方式以及第三方支付进行，不法分子得手后会迅速下线并清除后台数据，为公安机关进行打击带来一定难度。

网络赌博类App是开展线上赌博违法活动的主要入口，包括投注、支付和结算等功能，同时，部分App还收集受害人手机中隐私数据，用于开展“套路贷”等其他类型违法犯罪行为。

涉案移动App的取证分析

在针对上述电信网络新型违法犯罪中出现的各类App应用，公安机关在进行打击时往往会遇到困难，主要有以下几个方面：

一是相对于传统利用网站开展的电信网络犯罪活动，App隐蔽性较强，难以通过简单的方式找到后台入口及对应IP地址；

二是App运行后动态请求的各类权限以及收集各种数据的痕迹较少，现有的电子数据取证手段无法直接还原相关行为；

三是不法分子为逃避打击，往往会在短时间内更换多个不同App及对应后台，公安机关较难将其所涉及的多个App关联串并。

针对这些困难，结合具体的案件类型，通常可以采用以下静态分析和动态分析两种方式对各类涉案App开展取证分析工作。

2.1　静态取证分析

静态取证分析主要是在不运行涉案App的情况下，对于程序本身的代码和相关属性特征进行分析。Android应用程序的安装包以“*.apk”为扩展名，在进行静态分析之前，需要将其从已安装的手机中提取或通过下载链接/二维码方式进行下载。在Android设备中，已经安装App的APK安装包可以在“/data/app”目录下找到。

对Android移动App进行静态分析，通常可以使用APKTool等工具手工将APK进行解包，对解包后转换获取App的Java源代码进行分析；也可以选择 JEB 等工具进行直接反编译。

2.1.1　梳理分析App的权限

使用APKTool工具，对需要分析的APK文件进行解包，在生成的文件夹中，找到“AndroidManifest.xml”文件，该文件是Android App的应用清单文件，其中包含App的包名称、组件信息，也包括该App所使用到的所有权限信息。

图1　AndroidManifest.xml中的权限描述

在本例中，App所使用到的权限在其中逐条进行描述，比如图1中“android.permission. ACCESS_FINE_LOCATION”表明该App包含了访问精确地理位置信息（GPS 信息）的权限。根据应用文件，可以快速列出该App的所有权限信息，从而判断是否涉及与用户隐私相关的危险权限。

2.1.2　App源代码中的IP地址和URL分析

在调查电信网络违法犯罪中所涉及的各类App时，相关 App 后台服务器的 URL 或 IP 地址是调查工作的重点，使用静态取证分析方法，可以通过在源代码中手工搜索方式查找相关地址。

图2　解压后的APK包结构

如图2所示，对涉案App的APK安装包文件使用7-Zip等软件解压缩后，可得到完整的安装包文件结构，其中“META-INF”包含了该APK文件的签名信息，而dex文件是App的源代码，借助“dex2jar”工具，将其转换为jar包并反编译为class文件，即可获得该App的全部源代码。

图3　App源代码中的后台服务器IP地址

利用文本编辑器按照正则表达式搜索IP地址和URL规则，在源代码中通常可以直接找到相关的地址，如图3所示，在某“裸聊”App反编译后的用户注册/登录页面部分代码可以看到该App后台所对应的IP地址信息。

综上所述，使用静态分析的方法，可以对于App所涉及的权限信息进行有效排查，在进行反编译后从App源代码中所发现的后台服务器地址，也能够为相关违法犯罪活动的调查提供直接线索。

但是，通过静态方式所获取的权限信息和源代码仅仅能够满足电信违法犯罪中App调查取证的一部分需求，而诸如“套路贷”“裸聊”等以获取并收集个人隐私为主要目的的App，如何有效对其网络行为进行还原？此外，部分App还会采用联网后下载“云插件”，或者以Webview控件形式显示远程网页的方式规避静态调查，此时，就需要将App安装运行，进行进一步动态分析。

2.2　动态取证分析

涉案App的动态取证分析是通过真实或者模拟环境安装并运行App，通过对运行过程中App的内存、存储、网络等行为进行分析。一般来说，动态取证分析方法主要包括利用Android模拟器或真机配合IDA/JEB等软件进行动态调试，以及在定制化的Android环境中采用Hook插件方式对关键函数进行拦截等。

相对于静态分析方法，动态分析无需进行复杂的反编译和代码分析工作，也不会受到App加壳、加密等保护的影响，同时，由于被调查App可以直接运行并联网，其所有网络收、发数据均能够完整执行和还原。

2.2.1　利用Android模拟器进行动态分析

使用Android模拟器安装App进行分析是一种常用的动态分析方法，通常用于配合WireShark、Fiddler、Charles等抓包工具对App的网络数据包进行抓取分析。

由于篇幅所限，本文仅对使用Android模拟器进行动态分析的关键流程进行介绍，具体实现方式不再赘述。

首先，安装或搭建Android模拟环境，目前除了Android开发环境中自带的模拟器外，国内部分厂商也开发了诸如“夜神模拟器”“海马玩模拟器”等诸多模拟环境，可以根据需求选择适配的模拟器软件；安装完成后，继续安装抓包工具，通常Windows平台下常用WireShark进行http/https抓包，针对https进行抓包，还需要配置安装对应的证书。

此处同样以“裸聊”App为例，将其在Android模拟器中安装运行后，该App申请了多项系统权限并获取相关数据后，随即将虚拟机中的短信息发送至远程服务器，利用这种方式，不法分子能够直接获得受害人手机中所接收的支付短信验证码等隐私数据，盗取银行及第三方支付账户中的资金，或在受害人不知情的情况下申请网贷，严重侵害了人民群众的财产安全。

2.2.2　利用Android真机进行动态分析

在公安机关打击电信网络新型违法犯罪活动的高压态势下，不法分子利用移动App手段花样也不断翻新。一些违法活动App为了规避调查，增加了运行环境检测等反取证技术手段，当这些App检测到自身被安装在Android模拟器时，程序无法运行或者自动退出，以避免在模拟环境中被进行检测分析。

针对这种规避措施，在满足相应条件时，还可以采用真机动态分析的方式，与Android模拟器最大的不同在于，调查人员可以选择一台已获取root权限的Android手机（推荐选用原生Android系统的Google品牌手机），安装Xposed框架及相关模块后，针对Android系统的 API进行Hook调用修改，从而实现对应用程序行为的全面分析和检测。

电信网络违法犯罪相关App的防范对策探讨

面对日益严峻的利用移动App进行电信网络违法犯罪形势，如何有效进行技术防范与技术打击，提出以下建议：

3.1　从开发源头上对涉网犯罪App进行管控

近一段时间以来，结合外部研究报告以及近600个涉及电信网络违法犯罪App的取证分析，我们发现，为了降低犯罪成本，逃避公安机关打击，不法分子多选择使用互联网开发平台进行快速开发和打包，或采用网上外包/众包（也称为“威客”）的形式开发；当一种App被发现后，迅速利用开发模板更换IP/URL地址打包生成新的App继续分发，如此往复。

针对这种现状，笔者建议，主流开发和打包平台服务提供商应切实承担起管理责任，对于平台开发内容进行审核；以外包和众包为主的平台，也应加强对于外包开发的审核和检测，对涉嫌用于电信网络违法犯罪活动的App程序，应及时予以封停，从而在源头上避免此类App的产生。

3.2　阻断涉网犯罪App的传播渠道

本文开头部分所介绍的较为典型的“套路贷”“裸聊”等违法犯罪行为，均有着显著的特点——在即时通讯工具和社交网络上诱导受害人下载涉网犯罪App进而实施进一步犯罪活动，究其原因，主要是随着近年来利用即时通讯工具实施电信诈骗等违法行为日渐增多，社交软件运营商增大了防骗反诈检测力度，尤其是针对具有支付结算功能的社交App，不法分子很难绕过或规避其风控措施，所以会千方百计诱导受害人下载App实施犯罪行为。

据此，笔者认为，社交软件运营商应对现有网址欺诈检测功能进行升级，结合大数据对于社交软件聊天内容中出现的APK下载地址、指向APK安装包的二维码进行检测并提示风险，斩断涉网犯罪App的传播链条。

3.3　手机终端风险App防范

从近两年新闻媒体报道的各类案件可以看出，大量电信网络违法犯罪相关的App都是主要针对Android移动终端，这很大程度上源于Android操作系统的开放性以及分发渠道的多样性。反观国内主流Android手机厂商，近年来也都已经建立了自己的App商店分发体系和管理机制，这从技术上为终端防控违法犯罪App打下了良好基础。

近年来，已有一些手机厂商与互联网安全公司合作，在手机端增加了App病毒与恶意软件检测功能，但原理主要是根据App应用签名来判断其分发渠道，或是利用已知病毒库进行比对，而对于涉及电信网络违法犯罪相关的App覆盖较少。

笔者建议，手机厂商应利用自身技术特点和软件生态优势，逐步完善Android手机等终端上对于电信网络违法犯罪App的检测技术，在应用程序安装等环节做到及时检测、发现、预警和阻断高风险App，为手机用户守好最后一道门。

结　语

习近平总书记提出：“要以技术对技术，以技术管技术，做到魔高一尺、道高一丈。”作为一种新的违法犯罪形式，电信网络违法犯罪需要以创新的思维和有针对性的技术进行打击，更需要全社会共同配合进行防范——政府部门加强管理、行业厂商严格自律、人民群众齐心配合，只有这样，才能织牢一张打击电信网络违法犯罪的恢恢法网，才能有效遏制此类违法犯罪活动的蔓延，切实保护人民群众的合法权益。

分享到：微信 QQ好友新浪微博 QQ空间腾讯微博人人网

上一篇：取证基础 - 网络基础下一篇：上海公检法司安出台《关于进一步加强司法鉴定人执业保障的若干意见》

内容页面Content

联系方式Contact

地址：内蒙古乌海市海勃湾区
海北东街48-4 邮编：016000 咨询热线：0473-2099000 服务投拆：138-4833-5527 传真：0473-2099000 邮箱：service@longhuasfjd.com