“暴富谎言”网络博彩

 

导读：“相见不问好，开腔言生肖。上期已出牛，这期该马跑？输者长叹息，赢者怨注小。田亩少人耕，沃野生蒿草。电视及时雨，码报如雪飘。遥望买单处，人如东海潮。”一首“买马”诗，形象地刻画出地下“六合彩”的泛滥灾情。互联网的快速发展促使彩票产业从线下转向了线上，网络博彩同样泛滥成灾。最近暗影实验室收集了一批博彩类样本，并对其进行了分类分析。

 

1. 网络博彩背景

在网站上搜索“网络赌博案”很快映入眼帘的标题就是“全国最大网络赌徒案宣判：‘暴富谎言’吸引4840亿投注”、“全国最大规模网络赌博案，赌徒一月输掉150亿”等案例，从2014年世界杯起催生了约300家互联网公司在线售卖彩票，导致网络售彩各种乱象层出不穷。同时互联网时代，移动数据时代为博彩类应用的滋生提供了良好的环境。国家对网络博彩并没有明确的法律规定，这就导致越来越多人钻法律空子，铤而走险进入博彩行业。近日公安部发布消息称：大连、烟台警方各破获一起特大非法经营案，涉案金额分别为92亿元和15亿元，涉案公司主要从事帮助跨境赌博公司搭建非法支付渠道。由此可以看出网络赌博流转的资金是多么庞大，又有多少民众深受其害。

 

2. 博彩类应用概述

2.1 应用名分布

博彩类应用大部分以…彩票、…娱乐城命名。如下图所示为博彩类应用名称分布情况。

图2-1 博彩类应用名称

2.2 样本包名签名信息统计

通过对样本的统计发现这批样本中，以com.apk.u为前缀的包名最多，占比为82%。而这些包名对应的签名信息CN=apk,OU=apk…同样也占比最高占比为83%，由于相同签名的样本只能出自一个组织或个人，其他人无法获得相同的签名。因此可以看出这些应用基本都出自于同一厂家。

图2-2 应用包名与签名分类统计图

样本同质化严重，质量低下，不同的应用的界面结构几乎一模一样。

图2-3 不同应用的“两个”主界面

2.3 网络博彩套路

网络博彩通过QQ、比邻、陌陌等社交软件利用男帅女靓的头像吸引他人，获取好感并主动加好友，之后以软件不常用的理由要求对方加微信。微信头像，朋友圈等信息都是盗用他人照片，朋友圈的虚假信息。通过朋友圈营造自己是一个成功人士。主动联系受害者，虚寒问暖、获取信任、了解对方经济情况。之后透露自己有副业，盈利丰富，勾起对方好奇心。以试玩，充值就送，虚假的盈利数据诱惑对方充值。对方上钩后，通过修改开奖结果，带初玩者把把盈利，加深他们对平台以及介绍者的信任。之后便以多输少赢的局面让受害者亏空。

图2-4 网络博彩套路

 

3. 样本启动流程

博彩类应用基本通过“套壳”方式启动，也就是先利用“壳App”（App内只注册了少量组件，文件结构简单，相当于一个空壳，此文我将它称作壳App）注册并通过审核，接着在后台通过网站接入、变换页面等方式将有赌博内容的网页及功能加入到原来的壳App中替换掉之前的页面，这样就可以形成一个新的博彩应用程序。

以套壳方式启动的原因：

（1）原生app的开发成本和网页相比相对较高，所以越来越多的app使用网页来作为界面，甚至完全将一个网站封装成app，可以提高开发速度，还能基本实现跨平台。

（2）有些应用商店如苹果商店禁止数字货币、博彩类应用的上架，通过这种方式可以躲避应用商店的检测。

图3-1 应用启动流程

 

4. 技术特点

4.1 静默安装

检测手机目录下是否存在应用包名，如果存在则执行cmd命令静默安装。

图4-1 静默安装

4.2 套壳启动

壳app文件结构简单，清单文件中只注册了少了activity页面。同时通过该丰富的网页链接，自动加载博彩网页，接入博彩网站。

图4-2 样本文件结构

清单文件中只注册了几个activity。用于加载丰富的博彩网页，接入博彩网站。

图4-3 样本清单文件结构

丰富的网页链接，通过url拼接成各网页地址。

图4-4 丰富的博彩网页

通过WebView的loadurl（）方式接入网站（如https://****.net/mobile/index.php），且通过setJavaScriptEnabled（）设置与页面进行交互。

图4-5 加载方式

4.3 规避封堵

（1）应用程序通过频繁更新应用版本来规避封堵。

图4-6 频繁升级版本

（2）应用集成了支付宝、微信支付、云微付各种支付手段。

图4-7 支付渠道多样

通过不定时的更新支付手段，以及收款账号来规避封堵。

图4-8 更新收款方式及账号

（3）频繁更换官网来规避封堵。代码内集成了多条网站路线，如果其中一条网站路线被封堵，可开通其它的路线。

图4-9 多条官网路线

不同的路线指向不同的的内容。

图4-10 不同路线打开的网站不同

4.4 固定算法

根据游戏规则制定多样的开奖算法。

图4-11 固定算法

依据“重庆时时彩”每期发布的5个开奖数字，5个数字的大小、单双排列决定输赢。赌博设置了4、5种规则，比如5个数字加起来大于等于23的为大，小于等于22的为小。

图4-12 精密计算

4.5 恶意行为

（1）有些博彩应用内存在获取用户隐私、拨打用户电话、向用户发送短信的高危行为。获取用户手机电话号码、网络运行商、sim卡运营商、设备id等信息。

图4-13 获取收集设备信息

（2）获取手机音频、视频以及图片信息。

图4-14 获取手机应用使用情况

（3）获取用户登录账号、邮箱、QQ、微信、卡号、开户行等信息。

图4-15 获取用户个人信息

（4）向用户发送博彩相关的短信，勾起用户好奇心。

图4-16 发送短信

（5）拨打用户电话，向用户推销彩票。

图4-17 拨打电话

 

5. 追踪溯源

5.1 组织架构

俗话说羊毛出在羊身上，从制作到使用，每一环节都可以获利，线上赌博的流程已经形成了一条成熟的产业链，BOSS属于投资方以及幕后最大的操作手，同时也是隐藏最深，制作团队根据需求以及市场情势批量制作应用程序或者网站，这样的产品一般都是套用模板，配合着精心研究的算法批量产出，代理团队使用各种办法将其进行推广及处理售后工作，发展的下线通过设置赔率从流水线中获取佣金，当用户被榨干钱财的时候，推荐与其合作的贷款平台，层层环节获取的黑钱交由洗钱组通过多次转账等手法将其洗出分成。

图5-1 组织架构

5.2 传播途径

5.2.1 微信小程序

小程序的火热以及它带来的方便高效性博得了用户很多好感，很多人对它们的戒备心并不是很强，随手一个转发到群聊，点击量就会不断增加。同为好奇星人表示不能忍。

图5-2 微信小程序

所有的按钮都指向了下载链接，这个小程序只是一个传播途径，引导用户下载app。

图5-3 下载链接

5.2.2 发展代理下线

通过将玩家发展成下线。玩家获取到代理盘，成为平台代理。代理的模式是通过生成邀请码发展自己的客户，自己设置自身的高赔率，通过客户的赔率的差额进行回水，从而赚取佣金费用。

图5-4 发展代理下线

新注册的用户必须输入代理的邀请码才能注册。

图5-5 邀请码注册

5.2.3 捆绑色情直播招赌

推广员通过兼职招聘、网赚项目、色情直播等方式进行招赌。直播就在网络赌博平台进行，几名女子每天固定时间进行色情直播。观看直播需要先在网络赌博平台上注册充值，才能获得观看权限。如果充值超过一万元，可以观看一对一色情直播。

图5-6 色情直播招赌

5.3 盈利方式

博彩类应用主要通过三种方式盈利：

（1）操控开奖结果保底盈利让大多数玩家输钱。

（2）以各种理由拒绝中高额彩票的用户提现从而继续指导投注至最后输光为止。

（3）推荐各网贷平台或自己平台贷款给用户买彩。

图5-7 网络博彩盈利方式

5.4  四大诈术

“参与网络博彩总是输”之四大诈术：

（1）诈术1：庄家天眼，实时监测每个客人必须通过唯一账号才能进入博彩网站或博彩客户端，庄家第一时间就能了解到有多少人员参赌和下注方式。庄家可根据玩家的下注方式来修改开奖结果。

图5-8 庄家天眼，实时监测

（2）诈术2：充值返利，注册就送

黑产团队通常在各大论坛、成人网站等做广告，通过“免费试玩、注册送现金、充一百送一百”等手段吸引注册，前期调高概率让用户赢小钱，小额提现马上到账（但如果想大额提现，会以各种手段拖延，拒付）。客户尝到轻松赢钱的滋味后，就会慢慢主动充值再入局，由于庄家资金和规则上的优势，最终客户只会越输越多。这无疑是在温水煮青蛙。

图5-9 充值返利，注册就送

（3）诈术3：美女荷官，在线发牌

网络赌场可以通过视频直播的方式，看到真人实时发牌（例如真人百家乐等），为避免被机器人诈骗，参赌人员酷爱跟“真人荷官”对赌，认为这种赌博盈率会高。但实际上，庄家可以通过网络延迟，使参赌人员在APP上看到的画面比实际延迟几秒钟。实际上几乎没有赢面。

图5-10 美女荷官，在线发牌

（4）诈术4：机器人陪玩

前不久，机器程序阿尔法狗战胜世界围棋冠军李世石震惊世界。事实上，网络赌场中很多所谓的“玩家”都是机器程序，庄家以机器人跟赌徒对赌。所有真实用户在下注时都可能与被系统安排的机器人同桌，有可能看起来火爆的台面上都是客户和机器人在玩。

5.5  溯源分析

对样本进行行溯源分析，具体溯源分析流程图如图5-7所示：

图5-11 溯源流程图

通过对app进行分析，为了规避封堵，一些url已经失效，从种获取到几个有效url进行分析。共有五条备用线路，分别是：

https://ss**77.com

https://ss**03.com

https://ss**32.com

https://ss**33.com

https://ss**69.com

经测试，五条线路访问的页面是一致的，对url进行检索，判断将https://ss**77.com域名进行查询，时间一直持续到查询的这一天，可以确定使用这个ip网址正在运营。

图5-12 访问路线

根据捕获的下载地址，提取域名进行统计分析，如表5-1所示，除去一例地址为美国外，大多数为国内的地址。

表5-1 服务器地址分布

排行	下载域名	物理地址	计数
1	appdown.j***jt.com	陕西省	1375
2	dd.m***p.com	四川省	323
3	cp***pp.com	广东省	299
4	down.0**c.com	美国	207
5	down.le***cp.com	四川省	119
6	f.x**9.com	河南省	85
7	appdl.hi***ud.com	陕西省	70
8	app.x**ip.vip	湖南省	61
9	fenfa.059***ang.com	江苏省	60

对这些ip进行关联分析，共有55个域名曾经解析到这个ip，其中包括了这五条备用线路的网址，whois反查时并没有什么有效信息，注册人无，注册服务器为阿里云服务器。使用网页进行访问该网址，发现做了防劫持。

图5-13 域名备案信息

通过在网页上寻找一些有关信息，发现客服的邮箱，进而qq寻找。

图5-15 qq信息

找到了一堆自拍，而拍摄的时间是在05年..14年之前的相册了。

图5-16 自拍照

可以查到其使用的银行卡。

图5-17 银行卡信息

再挖qq号相关，发现这人一直在做关于博彩类的代理或者客服，同时找到了其微信号 。

图5-18 微信号信息

发现其朋友圈啥也没有，应该就是纯粹用来做客服的。

分析到此，由于口风太严，并没有得到什么有价值的信息，再去分析app，找到另外一条可疑域名https://50**u4.com，访问这个url时发现已经无法访问，但去反查这条url，获得以下信息。

图5-19 反查url信息

邮箱名500uu是博彩相关的名词，说明这个网址可能靠谱 。

图5-20 邮箱关联信息

去溯源手机号，得到名字为*家宽，头像是一个小女孩的自拍照（已打码）。此号码也未注册过什么网站，既然注册过域名，且懂得博彩类的套路，所以怀疑是可能注册的黑号。

图5-21 支付信息

 

6. 总结

博彩类的运营往往是一个专业的团队，通过套壳的方式大量产出低质量应用程序。从应用的推广-诱导投资-骗取财产到最后导致用户亏空都是他们精心策划的套路。奉劝网赌的朋友们不要被暂时的利益蒙蔽双眼，及时止损为上策。