近期，360烽火实验室在对色情黑产持续监控过程中发现了一批存在严重隐私窃取行为的色情软件，这批软件不仅存在将受害者手机短信、通讯录与通话记录上传的行为，还会将相册文件与实时录像上传至指定服务器。360烽火实验室在对这批非法窃取隐私的软件进行追踪溯源时发现了一个黑灰产软件制造与传播团伙，经深入跟进发现该团伙除制作色情软件外，还开发了能够充值提现带有赌博性质的棋牌游戏、疑似带有后台控制胜率功能的棋牌游戏、具有一定伪装性质的手机远程监控软件以及具有较强的骚扰能力，被重点关注打击的云呼软件等非法手机软件，甚至还开发了针对Windows平台的木马，这些黑灰产软件给用户的隐私与财产安全带来了严重危害。

一、 源起：非法窃取隐私的色情软件

(一) 色情软件“外衣”

7月中旬，我们监测到了近百个行为可疑的色情软件，这批软件都是用E4A框架开发，名称以“会所专用”为主，另有部分软件的名称为“安东幼儿园”、“夜都交换”、“魅惑直播”等。这批软件启动后会打开一个登录页面，登录页面需要输入“会所专用VIP密码”并提供了客服和试看入口，进入客服入口会开启一个与昵称为“a_软件开发平台”的QQ账号的聊天窗口，可在线购买或索要VIP密码，而进入试看页面会看一些极具“诱惑力”的色情短视频。

图1 “会所专用”登录页面（左）与试看页面（右） 这批软件声称其为沈阳某高端会所专用软件，且软件涉及的色情内容全部是真实在线直播，在抓取到的网络配置文件中发现了部分开发者的QQ账号与微信号。

图2 网络配置文件截选

图3 色情直播平台

(二) 隐私窃取“暗行”

表面上看这些软件只是一批靠收费会员特权非法牟利的色情软件，然而暗地里，从软件被启动开始，用户的个人隐私信息就开始被非法窃取，用户的私密行为更是被暴露于黑灰产的视野中。

1. 窃取地理位置&通讯信息

首先，这批软件在开启后会在用户无感知情况下读取并上传手机中的通讯录、通话记录与短信收件箱信息，软件在读取到各种通讯信息后会将这些信息保存在一个TXT文件中，然后将该TXT文件静默上传至指定的FTP服务器上，TXT文件被上传到服务器后会被重命名，新的名称中包含用户手机号码与上传日期等信息。

图4展示了从目标FTP服务器上截获到的用户隐私TXT文件，其中包含了用户的精确地理定位信息、详细通话记录信息、通讯录信息以及短信收件箱信息。

图4 从服务器上抓取的用户隐私文件截选

2. 窃取相册文件

除了地理位置和通讯信息外，这批色情软件还私自读取并上传了SD卡上DCIM文件夹下全部文件，DCIM文件夹下通常存放着用户相册中的图片和视频文件。

图5 上传/DCIM文件夹下的全部文件

3. 有针对性地静默录像

这批色情软件还会在特定用户发生特定行为后开启前置摄像头进行静默录像。我们在分析软件时发现，当用户点击首页的“试看”按钮后前置录像就会开始，用户试看色情视频期间，软件一直保持静默录像状态，录像结束后会在本地生成MP4文件并上传至指定FTP。

我们在目标FTP服务器上发现了使用前置摄像头视角拍摄的MP4文件，这些文件同样多以用户手机号加拍摄日期命名。

图6 FTP服务器上的MP4录像文件

4. 多种回传方式

这批软件窃取用户隐私时使用了多种回传方式，除了将用户的通讯信息、相册文件与录像文件上传至FTP服务器外，我们发现部分样本还会将短信、地理位置等隐私信息通过Foxmail邮箱或QQ邮箱发送至指定邮箱账户，我们在这批样本中发现了多个不同的隐私接收邮箱账户；而在早期的版本中还存在通过Socket套接字回传隐私的行为。

图7 发送短信隐私文件至指定QQ邮箱

(三) 隐私接收“窝点”

在对这批色情软件的分析过程中，我们已发现了9个用于接收用户隐私信息的FTP服务器，每个服务器有不同的登录账号与密码对，经测试其中4个已经无法登录，另外5个还能正常访问，而在能访问的FTP服务器中，有2个服务器上的文件更新近期还处于活跃状态。

图8 目标FTP服务器列表

这些FTP服务器上的文件目录基本相同，色情软件窃取的用户隐私信息都存放在/webroot目录下，/ftplogs与/weblogs目录下保存了FTP服务器上传、下载以及清除文件的具体操作日志，包括上传与下载人IP地址。

图9 FTP服务器根目录

我们在/webroot目录下发现了大量用户隐私文件，图10为一台活跃FTP服务器的/webroot目录下的文件列表，其中主要包括MP4、TXT以及JPG\PNG格式的文件，分别对应对从用户处窃取来的录像文件、通讯信息文件以及相册文件。

图10 /webroot目录下的文件列表

此外我们通过FTP服务器日志发现，活跃FTP服务器上的用户隐私文件并不会一直保存，而是不定期会被备份到攻击者本地，同时从FTP服务器上被清理掉。

图11 FTP服务器最新日志

二、 延伸：同源下出现多种黑灰产

在对这批色情软件的跟进过程中，我们发现了由相同开发者开发的其他的黑灰产软件，截至8月初，我们共发现了1400+个同开发者的同源软件，这些同源软件都利用E4A、Cocos2d-Lua或APICloud等低成本开发方式开发，软件类型主要包括色情软件、远程监控软件、棋牌游戏以及“呼死你”软件，涉及色情、非法监控、赌博、云呼等多种非法黑灰产。

(一) 同源色情软件

在找到的同源软件中色情软件占据了75%，包括各种“直播”、“宝盒”、“神器”、“VIP聚合”等，这类软件启动后的界面与主要功能十分相似，首页可以输入卡密进行登录并进入观看页面，卡密可以通过联系软件中提供的QQ账号进行购买。

这些色情软件所涉及的色情资源全部整合自第三方网络，我们从部分样本的网络配置文件中发现了大量色情图片与视频的资源链接以及这批色情软件售卖卡密的发卡平台链接，发卡平台主要包括易千发卡与骏发卡，骏发卡平台上的商品已失效。

图12 “易千”发卡平台售卖色情软件卡密

这批软件“充分”利用了用户的“二次传播”能力，利用“分享可获取VIP会员”与“不分享影响观看稳定性”的话术极力诱导用户对色情软件进行二次传播，让已上钩的用户成为他们传播色情、牟取利益中的“利器”。

图13 诱导二次传播

在同源色情软件中，我们发现了仿冒高德地图、微信和爱奇艺的软件，这些仿冒软件名称为“高德宝盒”、“微信”、“爱奇艺升级版”等名字，其中“高德宝盒”打开后甚至拥有与正版高德地图相似的界面、“爱奇艺升级版”打开后还可以观看爱奇艺视频，软件开发者可能企图通过这种方式让色情软件被安装到手机后更加隐蔽。

(二) 同源监控软件

同源软件中监控软件的数量大约占据了10%，这些监控软件名称多为“防出轨”、“**定位”，也包括某些仿冒正常软件的名称，如“系统”、“万年历”、“LanYa”等。这些监控软件对用户的地理位置、通讯信息、多媒体文件等隐私信息进行了监控与窃取，且以“卡密”形式“明码标价”买卖用户的这些隐私信息，只要花钱，用户隐私可以随意暴露给任何人。

在这些监控软件中，名称为“**定位”的软件主要功能多为查询指定手机号的详细地理位置信息，而“防出轨”以及“系统”、“万年历”、“LanYa”等仿冒软件则是功能十分“强大”的监控软件。

图14 仿冒正常软件的同源监控软件

以“防出轨”软件为例，软件启动后首次会展示如图15（左）的首页，页面带有很多读取隐私与控制手机摄像头、闪光灯等硬件的按钮；而当点击“开启后台”或“登录程序”按钮后会进入另一个如图15（右）的首页，该首页主要包含一些色情视频播放功能，原首页会被隐藏起来，除非重新启动软件，否则不能回到第一次的首页。我们猜测，类似于这款“防出轨”软件，启动后首次展现的首页是给购买监控软件的用户展示用的，而在该软件被安装到监控目标的手机上后，为了躲避监控目标感知才会展示仿冒色情播放器的首页。

图15 “防出轨”软件首次首页（左）与二次首页（右）

从该软件启动开始用户手机就进入了被远程监控状态，软件会在后台接受远程服务器发送过来的指令，并根据指令完成隐私窃取与手机监控。远程服务器发送过来的指令内容与首次启动看到的首页所展示的按钮一一对应，包括但不限于窃取通讯数据、启动或关闭前\后置摄像头录像\拍照、发送\拦截短信等。

图16 “防出轨”接受服务器下发指令

除了常见的远控功能，这款“防出轨”软件还具有QQ密码重置与找回、QQ账户注册功能，在接收到服务器下发的“重置密码”、“找回密码”、“新用户注册”指令后，软件会自动发送短信到1069070069、10690700511、10698888170069，以辅助重置或找回QQ密码、注册新的QQ账户，此外，在“系统”、“万年历”等其他几款监控软件中，我们还发现了远控模拟点击与登录功能。

(三) 同源棋牌软件

在同源中我们发现了近十款棋牌游戏软件，这些棋牌游戏软件都具有充值提现功能、带有明显的赌博性质，且我们在开发者名下的蓝奏网盘中甚至还发现了疑似带有后台操控输赢功能的棋牌游戏软件，名称为“棋牌（后台可控制输赢）”，从安装包名称看，这款棋牌游戏软件可以在后台控制用户胜率，结合该软件带有的违规充值提现功能，用户极有可能掉入棋牌赌博的“老千陷阱”，无论投入多少钱财都会消耗殆尽。

图17 开发者蓝奏网盘中的黑灰产安装包

(四) 同源云呼软件

同源软件中云呼软件的数量大约也占据了10%，这批同源云呼软件同样需要购买卡密才能正常使用。云呼软件因可向指定的手机号码连续拨打电话和发送短信、具有较强的骚扰能力而被列为违规软件，购买云呼软件的人多将其用于非法讨债、敲诈勒索等非法活动，社会危害性极大。

图18 同源付费云呼软件

三、 溯源：黑灰产制造与传播团伙

在跟进这批窃取隐私的色情软件及其同源软件的过程中我们发现了很多关联的QQ账号、Foxmail与QQ邮箱、手机号、服务器地址以及网盘等，基于这些信息我们对这批软件的开发者进行了深度溯源。经分析发现，这批软件的开发者不只一个人，而是一个小型的、有组织、有分工的黑灰产制造与传播团伙，该团伙以软件定制开发、售卖黑灰产软件账号密码来牟取钱财，其“涉猎”的黑灰产领域甚广，包括但不限于我们已经发现的色情、赌博、监控、云呼等，除自行开发外，该团伙还接受“多样化”黑灰产软件定制，将利用黑灰产牟取的利润最大化。

(一) 组织溯源

1. 主要开发者溯源

在软件核心功能代码中我们发现了三个主要开发者的QQ账号，结合相关域名备案、FTP服务器管理者与网络行为溯源，我们最终确定了该组织中的三名主要成员，这三名主要成员均为开发者，他们完成了黑灰产软件的开发、原始传播与对窃取的用户隐私进行存储，他们对功能模块开发有明确的分工：分别负责安卓远控模块、网站或服务器搭建模块、软件模块的开发。从QQ账户资料来看，这三名主要成员均来自辽宁省沈阳市，我们在其QQ空间也发现了其发布的有关“安卓远控”、“色情诱导”等黑灰产教程。

图19 三名主要开发人员QQ账户资料

2. 组织“画像”

除三名主要开发人员外，我们发现了2个目前仍处于活跃状态的相关黑灰产传播群：“棋牌游戏搭建4”与“外墙保温交流会”，其中“棋牌游戏搭建4”群成员已多达三百多名，该群的管理员正好是我们发现的三名主要开发人员；而通过“外墙保温交流会”群我们发现了另一个开发者，其主要负责网站排名优化。

图20 “棋牌游戏搭建4”传播群

除了最上游的黑灰产软件制造者，我们还发现了若干活跃于黑灰产中游的传播人员，这些人多以客服形式存在，主要负责售卖“卡密”与代理传播黑灰产软件。中间代理的存在让这批黑灰产软件形成了多级的传播方式，在开发者传播源下，还包括多个中间传播者与用户传播者，特别是我们在众多代理传播QQ账号中发现了一个疑似被盗来的QQ账号，该QQ账号可能是被盗取后用于传播黑灰产软件。

图21 客服人员

图22 多级传播

产业链最末端的用户作为该团伙的目标，除了付费购买“卡密”以及“帮助”他们二次传播黑灰产软件外，还给这个团伙“贡献”了个人隐私信息。在对用户隐私信息去向进行追踪时，我们发现了若干个隐私信息邮箱接收端，这些邮箱接收端主要包括QQ邮箱与Foxmail邮箱。

基于我们已经发现的该组织中的主要成员，我们对该组织的基本结构与黑灰产运作方式进行了归纳总结，如图23。在该组织中，开发者源头涉及不同分工的四名开发人员，这四名开发人员会将所开发出的黑灰产软件发布到QQ群、下载网站或发放给代理，用户从这些渠道下载软件后会被诱导进行二次分享下载链接至自己的QQ群，同时用户的隐私信息也将被非法隐秘上传至该组织的FTP服务器或某些利益相关第三方人员。

图23 组织“画像”

(二) 技术“特点”

该组织在开发色情、监控等黑灰产软件上有一些明显的技术特点。首先，这批黑灰产软件开发基本都使用了开源或免费的软件开发框架，其中以E4A为主，少数使用了Cocos2d-Lua与APICloud，这批软件的也核心代码会多次复用，以此来降低开发成本。同时，该组织具备一定的“反杀软”与对抗意识。该组织开发的黑灰产软件几乎都具有“假失效”功能，需要多次重启才能正常运行，这种行为能直接影响杀毒软件沙箱的检测效果，且这个组织还会在黑灰产软件运行时进行网络抓包环境检测以对抗作弊。

图24 “假失效”功能

此外，我们发现这个组织有跨平台能力，除了制造与传播Android端黑灰产软件外，还开发了Windows端的恶意软件。我们在一台活跃FTP服务器上发现了多个近期上传上来的恶意EXE文件，且这些恶意EXE文件处于频繁更新状态。

图25 八月初上传的恶意EXE文件

(三) 非法牟利手段剖析

在跟进这批黑灰产软件的过程中，我们发现了该组织所使用的多种非法牟利手段，包括承接黑灰产软件定制、贩卖黑灰产软件账号密码、运营和操控赌博软件等，而随着对该组织的深入溯源，我们发现其甚至可能存在倒卖用户隐私与敲诈勒索的嫌疑。

1. 贩卖&定制黑灰产软件

以“卡密”形式贩卖色情、监控、云呼等黑灰产软件的账号密码是该组织的主要牟利手段之一，这种黑灰产软件在正规应用市场下载不到，用户通常只能以付费的方式通过某些灰色渠道才能下载到并正常使用，这类“卡密”的单价通常不会太高，一般是薄利多销的牟利方式。该组织除贩卖这类“卡密”外还承接黑灰产软件定制需求，我们在这批黑灰产软件中几乎都发现了有关影视播放器、监控软件与云呼软件等的付费定制推广。

2. 运营&操控赌博软件

该组织开发的棋牌游戏软件几乎都具有充值和提现的功能，带有明显的赌博性质，特别是其还开发了疑似带后台操控用户输赢功能的棋牌游戏软件，我们猜测该组织会利用棋牌游戏软件运营赌博、甚至在后台“出老千”榨取用户钱财以此非法牟取暴利。

3. 倒卖用户隐私

该组织通过黑灰产软件窃取的用户隐私除被上传至FTP服务器外，还被发送给了多个QQ邮箱和Foxmail邮箱，我们从多个接收用户隐私信息的邮箱中发现了一个疑似从事金融行业的人员的QQ号码，而在同源软件中并未发现金融相关的软件，我们猜测该组织可能将窃取的用户隐私信息倒卖给了无关第三方。

图26 疑似从事金融行业的隐私接收QQ号码

4. 欺诈勒索

在该组织开发的部分色情软件中存在点击“试看”按钮后开始静默录像的行为，依赖用户特定行为触发的录像功能会记录下真正观看色情视频的用户的实时影像，这种有差别、有针对性地用户录像拍摄极有可能是出于敲诈目的，特别是这批黑灰产软件还会往用户通讯录中插入一个名称为“同学”的联系人，电话号码为该组织中的主要成员的手机号码，我们猜测该组织会在“掌握”了用户的某些私密录像后以熟人电话诈骗的方式敲诈或威胁用户，以此牟取钱财。

图27 往通讯录插入“同学”联系人

四、 结束语

随着各大应用市场对软件上架的审核越来越严格，黑灰产软件上架应用市场的几率越来越小，但这并不意味着黑灰产软件数量减少或传播受阻，QQ群、论坛、网盘等游离在应用市场审核机制之外的地方成了黑灰产软件及其开发者的重要聚集地，虽然各平台都有相关的规定与检测机制，但狡猾的黑灰产从业者“似乎”总有办法来躲避，类似我们发现的这批活跃于黑灰产从业者QQ账户和QQ群上的黑灰产软件，多数情况下都是在被发现后换一个名字或换一套“壳”重新出现。

与我们此次发现的黑灰产团伙一样，黑灰产从业者不再满足于单一黑灰产带来的收入，而是在利益趋势下将手伸到了多种黑灰产上，且不同的黑灰产间开始交叉渗透，色情软件不再仅仅违规传播色情或诱导扣费，还会静默窃取隐私信息；监控与云呼等软件也不仅仅局限于监控或暴力传呼功能，还变成了传播色情的载体等等，黑灰产的交叉渗透意味着黑灰产软件对用户的危害程度可能进一步升级，同时隐蔽性也会有所增强。

在这种形式下，对黑灰产软件的防范需要多方努力，除了应用市场要继续严格上架审核制度外，各大社交平台、论坛、网盘等黑灰产常用的分发平台也需要进一步完善监管制度。杀毒软件作为黑灰产防范的重要一环，需要根据黑灰产变化趋势不断更新监测与查杀策略，以应对“变化多端、擅于隐蔽”的黑灰产软件。360烽火实验室特有的监测探针能及时探测应用软件存在的风险行为，我们已经将挖掘到的包括黑灰产情报在内的威胁信息全部接入360威胁情报云，以帮助有需要的用户更好地防御恶意软件带来的风险。