起因

微信朋友突然找我，然后发现原来是被APP恶意扣费套路了。

image

APP已经被删了，于是只能从网址入手。

甩过来一个 http://www.wwwavtb55.faith/

网站分析

基本步骤就是查看网页源码，F12看下网络请求的过程

image

箭头标注的是查找到的可以的地方

网站点击取消后，直接是FRAME覆盖了

image

内容非常“优雅”，如果有这样的网站，请多发给我，我也是一名老司机。

看着画面的妹子在扭动，思绪万千，考虑到朋友的微信被扣了不少钱，只能强作精神，我是一个有毅力的人。

image

我们来查看下代码

http://www.fmnnc.com/sj.js 内容：

function browserRedirect() {
    var sUserAgent = navigator.userAgent.toLowerCase();
    var bIsIpad = sUserAgent.match(/ipad/i) == "ipad";
    var bIsIphoneOs = sUserAgent.match(/iphone os/i) == "iphone os";
    var bIsMidp = sUserAgent.match(/midp/i) == "midp";
    var bIsUc7 = sUserAgent.match(/rv:1.2.3.4/i) == "rv:1.2.3.4";
    var bIsUc = sUserAgent.match(/ucweb/i) == "ucweb";
    var bIsAndroid = sUserAgent.match(/android/i) == "android";
    var bIsCE = sUserAgent.match(/windows ce/i) == "windows ce";
    var bIsWM = sUserAgent.match(/windows mobile/i) == "windows mobile";
    if (bIsIpad || bIsIphoneOs || bIsMidp || bIsUc7 || bIsUc || bIsAndroid || bIsCE || bIsWM) {
        window.location.href = 'http://www.zlsopg.com/';
    }
}
browserRedirect();

不要紧张，如果你不懂JS，我来告诉你。

通过浏览器头，来判断你是WIN还是IPAD,或是安卓等等，如果是，那么跳转到他另外一个网站

http://www.zlsopg.com/

做为一个侦探，我觉的现在还不能停下来，我们继续摸索，进入下一个环境

打开http://www.zlsopg.com/

image

睁大了我的钛合金明眸，内心一声惊叹：What the fuck,是什么挡住了那些好看的图片？

没错，主动弹出APK扣费软件的下载地址了。

那么我们果断下载下来！！

http://rssc.shjzsteel.cn:8082/20170402/120103/HD_qvod_wt046_lol

于是，我那殷勤的女管家立马跑过来，说这个APP有毒，会得“性病”！

image

但是我乃是经过千金万银锻炼出来的精钢之躯，怎么会害怕呢。

软件的允许效果

image

然后引导我们去付费，支付方式有两种

image

我选择支付宝（为了升级会员，体验一番，骄傲脸！）

image

当然 结果APP还是提示付费，坑我一个老农民！！！简直丧尽天良！！！

不过我们取得了一些信息。

对方信息： 平安银行股份有限公司温州分行 wxw***@qq.com

我们对现有的信息进行信息的扩展

域名：

• http://www.zlsopg.com/
• image

kouguo96017@sohu.com 邮箱关联的信息:

image

都是同样色情内容性质的网站。

• http://www.fmnnc.com/
  image

List of domain names registred by chengui23674@sohu.com

jqzlz.com
nmkth.com
qstck.com
xlyym.com
dmcrg.com
qcxcs.com
qchym.com
dmcrh.com
dhqsb.com
ksjkr.com
mtsnb.com
yjzrt.com
kdkjl.com
blcsb.com
qchdf.com
mtnxy.com
wpysl.com
qstfj.com
dwqlx.com
cmitw.com
fclcp.com
yjqxy.com
qstgd.com
jqlbh.com
ljjpb.com
wslpf.com
jqlzm.com
fxppq.com
chxdn.com
qcfxt.com
qcmzm.com
qtkhy.com
xsblp.com
lklqj.com
mzhlq.com
nmhsg.com
kqslk.com
nmcsb.com
dflqh.com
yjxrd.com
xfypl.com
kjljg.com
nmhxt.com
mtzjn.com
nmhmj.com
bwrjc.com
gpjqt.com
wphxl.com
bwjdn.com
qtmbm.com
ybspl.com
nmkyj.com
ygwlk.com
yhbrt.com
dsnym.com
gcwhl.com
ksjpr.com
ksjsn.com
ljcpc.com
ljjmc.com
mttng.com
nmkfh.com
wncfm.com
xfdpl.com
wpsfl.com
wptpl.com
ygwld.com
wpxlp.com
ybqny.com
xkslj.com
xhpls.com
nmhmx.com
nmjbf.com
ybpls.com
xhqhl.com
kslpr.com
tmznq.com
ydnby.com
kqbcl.com
wsjxl.com
qmtxy.com
xsbql.com
ymjqy.com
ptxlt.com
crnjc.com
fzjjn.com
hqjlp.com
zfgng.com
dtlsp.com
blfzs.com
qtmdf.com
wpqlq.com
yjxqy.com
zxlwz.com
pxxlt.com
qsjxj.com
qckyj.com
wpdhl.com
dflqb.com
mxdrb.com

打不开的网站我们可以google site一下，查询历史的内容。

image

也是一波色情推广的内容。

• http://www.wwwavtb55.faith/

image

同样发现惊人熟练的域名。

image

• http://rssc.shjzsteel.cn
  image

通过这个邮箱扩展的域名就一般般了，内容都是垃圾站的内容。
我就不贴图片了。

他们操作这么多是做什么赚钱

很明显，一个扣费的APP，利用诱惑的假黄网，引导用户去为了色情视频或者色情图片去付费。

image

谷歌相关的一条信息：

2016年12月起，众多网友陆续在聚投诉提交投诉称，他们分别被“看片神器”、“绝色影院”等多个声称提供成人影片的APP欺骗，逐次付费开通各级会员，结果无法观看。涉骗资金，通过微信支付进入商户“信威通”、“宸英商贸”等。而有些投诉人反映，其并无意向与信威通交易，是在浏览广告时，弹出了支付的窗口，点了返回后，反而被微信支付扣费，向信威通自动支付，也没有收到所谓的交易商品。

当然，我不知道这个

平安银行股份有限公司温州分行 wxw***@qq.com 是谁.

我猜想我可能又发现了一个黑产团队了！

这个产业的利益之大，也难以想象。一不小心，你就被扣了几十块的手续费。

而且光看域名的数量，以及域名注册的年费，我的估计是 每天这个团队都有一大批域名新注册，不停的引流量，各种诱导用户被恶意扣费。

我的公众号：欢迎扫描订阅

image

知乎也有人分析过，刚好前两天，难道是同一个团队？

https://zhuanlan.zhihu.com/p/26048328