用色情App作跳板，強迫你看廣告短信的黑灰產來了！

有人給你拋來一個都是各種小姐姐的不可描述的美圖的軟件，你猜他想干什么？

A.誘惑你看片，給你假的小黃片，然后通過不斷“解鎖”姿勢騙你充值。

B.獲取你的信息，拿走個人隱私信息賣錢。

C.騙你開展裸體模特視頻聊天，獲取你的通訊錄，最后拿著錄好的視頻以3000元的價格勒索你，哼不給錢就把視頻發給所有通訊錄聯系人，最后你被逼無奈，討價還價以1000元成交。

紅紅火火吼吼，這三個選項都是雷鋒網編輯從既往真實案例中濃縮的答案，但是，這次的騙局居然跟這些騷到天際的目標沒有關系！

奇安信紅雨滴研究團隊安全研究員羅斌告訴雷鋒網一個震裂三觀的新發現，黑產團伙這么做的新目標是，為了給你發短信，還是為了完成廣告投放商的 KPI 發短信，看起來竟然有點敬業是怎么回事？

哦不，也可能是黑吃黑。

瘋狂的廣告短信

故事要從一條產業鏈條開始說起。

作為一個在發稿前看了一眼自己短信箱未讀短信數量的誠實編輯，很尷尬地說一下，目前我的垃圾（廣告）短信未讀數量達到了 252 條。

不是我不愛清理短信箱，而是垃圾短信特么太多了！最后，被訓練得抖 M 的我甚至收藏了一條“精品垃圾短信”，這條賣高仿包的短信時刻提醒我：文案寫得好，垃圾也成寶。

我的微信：XXXXXX

我是個賣高仿的。我也承認這是個拉客的軟文，但是我會把性價比最好的好貨帶給大家！

先來解釋貨源，我賣手表，包包，衣服、鞋子、帽子、圍巾，墨鏡，皮帶，還有真金真鉆定制、鱷魚皮鴕鳥皮定制等性價比很高的貨物。

品牌有lv、香奈兒、古奇、迪奧、愛馬仕等名包； 萬國，勞力士，浪琴，歐米茄，沛納海等名表。百分百工廠一手貨源！

工廠有十多年的仿制經驗，從一開始的簡單仿制，到精仿，到一比一復刻，再到材料也采取用專柜同等材料，品質比你想象中的更美，保證每件到您手的寶貝都物有所值。用一件正品的錢即能買到十倍或者更多可以媲美正品品質的產品。

服務是我們的宗旨！做生意要長久，品質是我們的根本，我們有市場上最優質寶貝，但不可否認，即使是正品，也同樣存在瑕疵，這樣的問題上隨便搜搜百度都隨處可見。當你在選購我們的產品之后，如果有品質問題，我們能確保進行退換，因為我們是工廠合作方，有足夠的話語權。

友情提示：如果你是要買正品的話，請直接去專柜購買，因為部分代購以及網上所謂的正品，他們的進貨渠道和我們完全一樣，謹防上當受騙！祝你開心！謝謝！

用專柜十分之一的價格 就能拿到專柜的貨!!?您還等什么呢？

XXXXXX（微信號） 誠信經營！支持貨到付款！

雖然這個廣告寫得別出心裁，但是這種賣高仿的廣告依然是違法的。

我們到底是如何收到這些廣告短信的？

第一種，通信運營商是開展著合法的付費短信廣告服務的。通道商對企業進行實名制登記備案，可以通過短信通道向指定的號碼發送驗證碼、活動、宣傳、祝福等營銷短信。在正規的短信通道發短信需要付費，發短信時通道代理商也會遵守相關法律法規，審核企業所屬行業及提交的短信內容是否為敏感內容。

目前發送正規內容短信的價格據了解，驗證碼在 0.05 元一條，營銷短信大約在 0.06~0.1 元錢一條。按行業不同，一般通道商一次接受短信發送量最低 10000 條起。

通道商一般審核嚴格，需要各種資質登記備案，但是，像貸款、電商、黑五類等敏感內容，在常規手段中，是無法冠冕堂皇地做短信廣告的，這就造就了第二種“野路子”。

想撈錢的黑產們提供了一種“包治百病”的服務：短信正常發送，支持全國一切內容！這無疑很有誘惑力啊，你想想，別人都不敢發、發不了的短信，這些黑產居然可以發。

紅雨滴團隊研究后發現，黑產通過用戶手機構建的僵尸網絡，冒充“短信通道商”向廣告主騙取短信營銷費用，用戶手機被控制，莫名奇妙收到很多“廣告短信”。

虛假通道的手段

這種野路子到底有多“野”？先看看圖：

對比一下通過正規通道發短信的邏輯和通過虛假通道發“短信”的邏輯。

A、廣告主->短信通道代理商->使用三網通道發送短信->廣告短信成功到達用戶

B、廣告主->冒充的“短信通道代理商”->控制手機從服務器讀取廣告內容->惡意App 將廣告內容插入短信信箱->“廣告短信”成功到達用戶

原來，企業短信營銷人員給出預算，下達需求后，這類黑平臺冒充代理商向自己囤積的“僵尸手機網絡”發送廣告短信，然后把數據做得漂漂亮亮，反饋給廣告商，然后輕松拿錢。

而且，這個僵尸手機網絡還特別神奇，它是乘著色情 App 的便車順利發車的！

也就是說，某一天，如果有些人從網上打開一些羞羞頁面，網頁提示自動下載色情 App 。如果他鬼迷心竅地同意下載，那么就開始給虛假通道代理商造了一個向自己手機侵蝕的跳板。

這些色情 App 為了躲過殺毒軟件的攔追堵截，還非常“機智”地機器自動修改生成包名和簽名信息，通過高強度混淆來對抗傳統安全軟件的查殺。

雖然，張三、王五、李四看到的 App 可能都叫“XX影院”，但是“XX影院”為了躲避殺軟的攔截，可能穿上了紅衣服、綠衣服和藍衣服，但本質上還是同一類色情 App。 

這些 App 變身真的不要太容易，羅斌說，它的包名和簽名信息存在一定的隨機性，但還是能看出一定規律：單個包名、簽名信息里的字符串看上去無任何規律，多個軟件放在一起，還是能發現隨機生成的字符串有一些規律，說明它是利用代碼自動化生成 App 。

就像上面那張圖片展示的一樣：長度一樣、都是com.開頭，簽名長度一樣，簽名的每個字段長度一樣。

話說回來，既然都是“僵尸手機”，金主爸爸應該可以看出“轉化率不高”的貓膩，就算能被騙一次，也不會上第二次當？

現實可能更魔幻，羅斌告訴雷鋒網：“投放人只能通過轉化率、點擊率去發現其中的水分，就算發現投放人也只能在心里斷定，這家‘短信渠道’效果一般，投放人會根據效果決定繼不繼續投放，但已經投放的，都不會退款。并且他們接的都是正規通道發不了的內容和頻率，畢竟這種短信到達用戶手機的方式都是真實用戶，還是有一些推廣效果的。”

或強勢插入聊天軟件

經安全人員分析，這種色情 App 還在不斷更新，時間跨度在一年，可以斷定，該虛假短信通道已運營一年之久。

可怕的是，還有新的威脅。

安卓系統的短信存放在一個本地數據庫文件(SQLite)中，在具備 Root 權限的情況下，可以對該短信數據庫文件進行增刪改查，這也是這種 App 實現短信到達用戶手機的核心功能。

以此類推，市面上一些聊天軟件的聊天私信內容也都是存放在本地數據庫文件，當然，有一些進行了簡單的加密。這就導致在有  Root 權限的情況下，App 也可以將廣告短信插入到這些聊天軟件的聊天內容中，用戶收到了一條信息，會不由自主地點開，從而增加營銷廣告的曝光率和點擊率，這樣的曝光率和點擊率會讓廣告主更滿意。

這樣的黑灰產甚至可以進化到讓不能見光的廣告主和虛假通道商達到雙贏的效果，那么被強摁著頭吃 XX ，失去手機控制權的人又是誰呢？

雷鋒網注：本文部分內容援引自“奇安信病毒響應中心”發布的《虛假“短信通道商”黑產活動》。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。