从计算器到诈骗软件：一款涉案APP的双面人生

第一步需要确认一下，APP被平台识别为正常应用的原因。这篇文章讲解过，当APP在各大应用市场的上架信息明确，且与当前APP签名信息一致时，该APP将被判断为应用市场上架的正常应用（如图3）。说明这个APP的签名信息是经过应用市场审核的。

图3 APP上架信息

对此，我们需要复查APP的证书指纹，确认是否存在证书指纹复用等异常情况（如果犯罪团伙是通过非正规渠道获取的合法第三方证书指纹，那么对于证书指纹的开发公司追查结果很难与犯罪团伙产生直接关联）。排查步骤如下：

1、查看签名信息中的有效开始日期，常见的正常应用不会频繁更改签名证书。我们分析的这个APP签名信息中有效开始时间是比较新的（如图4），大概率会有问题。

图4 签名信息-有效开始日期

2、查看证书指纹是否还关联了其它不相干的，涉案APP和团伙。从研判图谱中可以看出，这个APP的证书指纹在平台上没有和其它涉案样本或者备案主体产生关联（如图5）。说明证书指纹被复用的可能性较小。

图5 查看证书指纹是否关联其它涉案样本

3、确认证书关联的公司是否存在异常。可以通过平台线索研判功能搜索指纹证书关联的公司信息，主要看公司的注册时间、人数、官网、主营业务等信息是否和该APP存在关联（如图6）。

图6 应用开发者信息

4、查看APK快照记录，对比历史页面截图，确认APP之前确实存在异常。也就是开头用户反馈的，历史截图内容中包含比较明显的诈骗软件特征。

这里，出现一个疑点：从APK快照记录来看，APP的界面截图大概是在十多天前，是另一个样子（呈现明显的投资理财诈骗特征）。现在为什么会变成一个普通的计算器界面，与APP上架信息中显示的一致？原因我们后面逐步分析。

5、另外，我们也可以通过大狗平台的共享计划看到，其它地区也有疑似案发情况（如图7）。侧面印证了我们对涉案APP疑似为诈骗APP的判断。

图7 共享计划成员上传记录

到这里，我们就可以推测，这个APP可能存在空壳上架，应用市场审核通过后，借助正常APP的壳子进行诈骗的情况。从以上排查结果及上架安装次数可以判断，同时我们也从该应用市场下载了APP，确认和涉案为同一应用（如图8）。

图8 应用市场 APP SHA1 比对

接下来，就需要回答刚才的疑问，APP是如何实现在诈骗软件和正常应用之间的切换？

我们在APK报告中查看了最早的网络请求（大概在十几天前，APK界面还停留在诈骗网站的阶段），因为现在界面已经发生了变化，变成了正常的计算器应用，这个时候再用云真机去抓取实时网络请求意义不大。

发现使用了某厂商的Mock API 服务（一种用于模拟真实API接口的工具，它可以模拟服务器的响应，以便开发者在无需依赖实际后台的情况下进行前端开发和测试），通过请求服务商URL：https://mockapi.*****.com/rd5cg**********79c00/a?branchID=0 ，得到了一个返回的页面地址https://*****.*****.cn/index-**.html（如图9、10）。

图9 历史网络请求

图10 MockAPI返回的url

进一步回溯网络请求，发现该网站当时返回了一个数字天堂打包的投资理财诈骗页面，但是相关APP_ID已删除（如图11）。

图11 网站返回页面

现在的APP再从云真机分析时，发现请求相同链接 https://mockapi.*****.com/rd5cg**********79c00/a?branchID=0，后端地址已跳至计算器（默认）页面（如图12）。

图12 默认计算器界面返回值

因此，可以明确，犯罪团伙通过修改 Mock API 请求 https://****api.*****.com/rd5cg**********79c00/a?branchID=0 的不同返回地址，来控制上架APP界面内容，实现同一APP在计算器和诈骗软件之间的切换。

犯罪团伙这样设计作案APP的原因主要有三个：

一是，可以通过正常渠道进行分发，便于伪装；

二是，可以通过这种方式绕过一些涉诈检测；

三是，便于随时调整APP内容，隐蔽性很强。

通过上述深入分析，我们可以发现并总结出，犯罪团伙使用这款涉案APP的 技术特征 和 手法特征。

技术特征：

1. APP在应用市场上有相关信息，且安装数量较少；

2. APP具备近期的证书指纹，且没有大量复用的情况；

3. 在运行过程中，APP会请求固定的 Mock API 服务。

手法特征：

1. 伪装成计算器小工具空壳上架；

2. 开发者的工商信息与实际经营范围不符；

3. 备案主体公司注册时间较新；

4. 使用 Mock API 更新诈骗后端等。

根据这些技术特征和手法特征，我们在大狗平台反查出大量疑似同团伙样本（如图13）。其中 6 个同样被“误判”为“正常应用”的涉案APP与分析样本高度相似，经过应用图标、应用名称命名规则、APP上架信息、APK快照记录等各项综合信息比对，基本可以确定为同团伙样本（如图14）。

图13 疑似同团伙样本

图14 高度相似的同团伙样本

针对这类样本，推荐的侦查方向包括以下几个关键步骤：

1、备案主体追查：初步确认阶段，我们明确了证书指纹复用的可能性较小。因此，可以进一步对应用开发者 ******有限公司 这个备案主体进行追查。

2、上架信息追查：从应用市场下载的APP与涉案APP比对后，确认为同一应用。接下来，可以联系相关应用市场，以追查该应用的上架信息。

3、三方应用追查：分析表明，犯罪团伙通过修改某厂商提供的 Mock API 请求返回的不同网址，来控制APP界面内容切换。所以，可以联系该公司，追查与该请求URL相关的注册和使用信息。

4、同团伙样本追查：如果从上述三条路径获得的数据不足，还可以从已确认的 6 个同团伙样本入手，重复上述追查步骤，以获取更多潜在的指向犯罪团伙的线索和信息。

最后补充一点，针对类似小众上架应用（应用市场下载量较少）都可以通过上述分析步骤排查，来确认正常上架的应用是否就真的没问题？

同时，这次分析也促使我们对大狗平台涉案应用分析流程进行深刻反思。此次“误判”不仅凸显了科技在打击犯罪中的重要性，也提醒我们在面对海量应用时需保持警惕。科技兴警的关键在于将技术有效应用于实际工作。

我们意识到，当前分析系统在识别潜在风险方面还有待提升。因此，大狗平台将继续优化技术手段，加强智能监测和数据分析，力求实现更精准的案件甄别。

期待与公检法技术工作者进一步加强沟通，分享实践中的经验与挑战！