中国人民公安大学学报(自然科学版)
2021年第2期No.22021Journal of People’s Public Security University of China (Science and Technology )总第108期Sum108
涉虚假App 的电信网络犯罪侦查难点与对策研究
李玲玲1, 牛军生2, 蔡 政3
(1.河南警察学院网络安全系,河南郑州 450000;2.河南省公安厅电信犯罪侦查总队,河南郑州 450000;
3.河南省信阳市公安局网安支队,河南信阳 464000)
摘 要 虚假App 已经成为不法分子实施电信网络的主要载体之一,通过对河南省某地区2020年发生的电信网络案件为研究对象,分析当前的犯罪形势及特点,以涉App 为核心,分析了公安机关在侦办这类案件中的难点㊂针对涉虚假App 的电信网络犯罪案件的作案技术原理和技术,以App 信息流和域名㊁IP 地址信息流为侦查的方向和切入点,采取对应的侦查措施㊂最后从制定案件信息采集规范和标准㊁优化案件信息录入平台功能㊁建立涉App 溯源分析比对平台和建设完善省级反诈数据统一资源库等多个方面提出了打击和防范这类案件的对策建议㊂
关键词 虚假App;电信网络;侦查难点;域名信息流中图分类号 D918.2
文献标志码 A
收稿日期 2021⁃01⁃05
基金项目 河南公安智库项目(2020⁃25);河南警察学院院级项目(HNJY⁃2019⁃41)㊂
作者简介 李玲玲(1975 ),女,河南信阳人,硕士,讲师㊂研究方向为计算机及应用㊁网络安全㊂E⁃mail:LLL007@hnp.edu
Research on Difficulties and Countermeasures in the Investigation of Telecommunications Network Fraud Involving Counterfeit Mobile Apps
LI Lingling 1, NIU Junsheng 2, CAI Zheng 3
(1.Department of Cyber Security,Henan Police College,Zhengzhou 450000,China;
2.Headquarters of Telecommunications Fraud Investigation,Department of Public Security of Henan Province,
Zhengzhou 450000,China;
3.Cyber Security Detachment,Public Security Bureau of Xinyang City,Xinyang 464000,China)
Abstract :Mobile counterfeit apps are increasingly becoming one of the main carriers for criminals to im⁃plement telecommunications network fraud.This article analyzes the current criminal situation and char⁃acteristics based on telecommunications network fraud cases that occurred in a certain area of Henan Province in 2020.And with fraud⁃related apps as the core,it analyzes the difficulties of public security agencies in investigating such cases.In response to the technical principles and technical characteristics of criminal cases involving fake apps in telecommunications network fraud,the information flow of apps and the information flow of domain names and IP addresses are taken as the direction and entry point of investigation,and corresponding investigation countermeasures are taken.Finally,countermeasures and suggestions for cracking down and preventing such cases are proposed from the formulation of case infor⁃mation collection norms and standards,optimization of the function of the case information entry platform,establishment of a fraud⁃related app traceability analysis and comparison platform,and construction and improvement of a provincial⁃level anti⁃fraud data unified resource database.
65㊃
李玲玲等:涉虚假App
的电信网络犯罪侦查难点与对策研究
Key words :counterfeit apps;telecom network fraud;difficulties in investigation;domain name informa⁃tion flow
0 引言
近年来,随着移动互联网技术的快速发展,中国手机网民用户持续增长,截至2020年12月,我国网民规模达到9.89亿,其中手机网民规模达9.86亿,网民使用手机上网的比例达99.7%[1]㊂手机网民用户的持续增长又推动了手机应用程序的高速发展,截止2020年12月,我国国内市场上监测到的App(Application,移动互联网应用)数量为345万款㊂一些不法分子利用日益发展的通信技术和快捷支付技术,采取远程㊁非接触的方式,以虚假App 为手段,实施各类电信网络行为,严重危害了人民众的财产安全㊂这些虚假App 具有容易复制㊁版本更新频繁㊁蹭热点快速传播等特点,主要集中在贷款理财㊁㊁刷单返利和社交工具等热门应用上,以仿冒图标㊁名称等内容为主,界面与正版App 基本一致,通过更换图标底㊁更改字体等方式偷梁换柱,除了颜或字体等细微差别,和正版的几乎没有差异,使用与正版App 相似的名字和Logo 图标,使众难辨其真伪㊂搜一个软件名称会出来很多个,看上去都是正版的,甚至有的App 的评论和下载次数都是假的,具有很强的欺骗性㊂
由于‘中华人民共和国网络安全法“‘移动互联网应用程序信息服务管理规定“等法律法规,行业与技术标准的相继出台,我国加大了对应用商店㊁应用程序的安全管理力度㊂开发者在应用商店申请App 上架前,需提交软件著作权等证明材料,这类App 很难在应用商店上架,其流通渠道主要集中在网盘㊁云盘㊁第三方平台㊁云服务器等线上传播渠道,已经形成了产业化链条,犯罪成本低㊁收益高,监管和打击较为困难㊂
不法分子通过各种方式如电话㊁短信㊁网站㊁社交工具等诱骗受害者下载App 实施,令普通众防
不胜防㊂此类犯罪无论是从发案数量,造成人民众的生命财产损失,还是从犯罪行为的产业化和高科技化等方面,都给国家经济安全和社会稳定造成严重的后果,也给当前公安机关打击犯罪㊁维护社会治安稳定带来重大挑战㊂
1 涉虚假App 的电信网络犯罪形势和特点1.1 犯罪形势
近年来,随着公安机关打击犯罪力度的不断加大和社会治安防控体系的不断完善,传统刑事犯罪案件总量持续下降,以电信网络为代表的新型犯罪案件持续高发[2],特别是涉App 的电信网络案件逐年升高㊂以河南省某地区为例,2020年1~12月,该地区电信网络案件刑事立案总数为2998起,其中涉虚假App 的电信网络案件为1415起,占电信网络案件的47.2%㊂而该地区2018年涉虚假App 的电信网络案件占电信网络案件总数的10%,2019年上升到35%,与2018㊁2019年相比,2020年这类案件上升幅度很大,如图1所示㊂由于App 制作成本低㊁收益高,目前虚假App 已经成为不法分子实施电信网络的主要载体之一,也是影响社会治安稳定的突出隐患
图1 河南省某地区涉虚假App 案件占比
电信网络案件根据作案手法,主要分为贷款㊁类,刷单返利类,杀猪盘和虚假购物㊁服
务类等类别㊂该地区2020年立案数占据前四位的分别是贷款㊁类485起(占比34.2%);刷单返利类383起(占比27%);杀猪盘348起(占比24.6%);虚假购物㊁服务类57起(占比4%);其他294起(占比10.2%)㊂需要说明的是,由于电信网络犯罪案件的大类为非接触性,包含盗窃㊁民族资产解冻㊁套路贷㊁侵犯财产类犯罪㊁㊁网络赌博等类别和罪名,涉及多个侦查部门㊂为方便归类研究,把所有非接触类全部默认为电信网络案件,对其涉案App 进行全量抽取统计㊂
75㊃
李玲玲等:涉虚假App
的电信网络犯罪侦查难点与对策研究
1.2 犯罪特点
对案件信息进行统计和分析,发现涉虚假App 的电信网络案件有以下几个特点:
(1)App 极少通过应用商店,而是通过各种途径得到的链接地址下载㊂经对案情信息进行分析,发现受害人一般通过以下几种方式下载App:接到电话后被诱骗下载㊁通过搜索网站下载㊁收到短信后的链接下
载㊁通过QQ 等社交工具加好友下载等㊂其中下载方式高居前四位的分别是:电话占比29%;通过搜索网站占比27%;㊁QQ 等社交工具占比22%;短信占比18%;其他方式4%,如图2所示
图2 虚假APP 下载方式占比
值得注意的是,下载方式也出现了一些新变化,有些不法分子穿上了二维码的 马甲”实施㊂在以上案件信息中,使用二维码下载的占比约10%,现在吃饭付账㊁添加好友㊁下载手机应用等,很多人都习惯拿起手机扫描二维码,由于使用便捷㊁制作和传播成本低,已经成为目前下载类App 的渠道之一㊂二维码虽然看起来是一个图片,实质上还是一个链接地址,但此种方式由于容易被普通众接受且更加隐蔽,上升势头很快㊂
(2)贷款㊁类等案件迅速增长㊂2020年以来,由于受新冠疫情影响,经济下行和就业压力加大,生产生活加速向网上转移㊂贷款㊁类案件急剧增多,此类案件成为当下众最易遭受的手法之一㊂资金短缺的网民,被贷款,众被金额大,危害突出㊂常见的贷款㊁类流程如图3所示㊂
(3)受害人支付方式主要以手机快捷支付为主,如手机银行㊁支付宝第三方支付等㊂近几年,随着金融资金结算方式多样化㊁快捷化,越来越多的人使用手机快捷支付㊂经过对案件进行分析和统计,受害人支付方式占比从高到低分别为:手机银
行占比33%㊁支付宝占比21%㊁银行卡占比15%㊁支付占比10%等㊂图3 贷款、类流程
(4)此类案件一般使用或QQ 作为通信工具㊂对案情信息进行分析,使用联系的占比55%,使用
QQ 的占比34%㊂
(5)受害体出现年轻化㊁低龄化的趋势㊂对已采集的受害人信息进行统计和分析,年龄层次分布30岁及以下的受害体占比约50%,其中20岁及以下的占约10%;30~50岁(包括)的受害体约占28%;50岁以上的占约12%,受害体出现年轻化㊁低龄化的趋势,犯罪方式涉及青年体交友㊁购物㊁兼职㊁助学金㊁考试和社会实践等方面㊂
(6)众的法律意识增强,遇到被骗后能及时报案㊂对案件信息进行统计,1天之内报案的占比约32%,2天之内报案的占比约47%,7天之内报案的占比约72%,88%的受害人都能在1个月内报案,说明目前公安机关加大了电信网络宣传的力度,众的法律意识增强,遇到被骗后能及时报案㊂但也有约5%的案件受害人在案发后3个月及以上的时间才报案,这样可能导致相关App 程序㊁聊天记录㊁转账记录等缺失,为后期的侦查工作带来困难㊂
对涉案的App 进行分析,发现具备以下几个特点:一是App 的制作链条化㊂随着互联网技术的成熟,App 的制作实现了流程化㊁自动化打包,或者直接将一些网站打包到App 中,实际上就是一个网页;二是App 的运行需要邀请码㊂不法分子有一定的保护意识,为了在实施时躲避第三方的监控,有时需要邀请码才能使用App,这样在侦查过程中就出现无法运行和使用该App,无法分析它的功能;三是App 采用了安全加固机制㊂对App 样本通过反编译工具使用得到源码,就能够对源码进行溯源和分析㊂但现在不法分子防护意识也不断增强,越来越多的App 在制作时进行了安全加固处理,通过
85㊃
李玲玲等:涉虚假App                                                的电信网络犯罪侦查难点与对策研究
反编译无法得到源码,对App 的分析难度加大㊂同时,安全加固使用开源软件就可以做到,成本也非常低;四是App 变化非常快㊂为逃避打击,涉案的虚假App 经过很短一段时间就失效,不能访问,或者骗成一笔大单即关闭㊂但是有的不法分子对过去的App 改头换面”,把图标和名称修改一下,或者换一个包名,躲避拦截,逃避打击,继续行骗㊂
2 涉虚假App 的电信网络犯罪案件侦查难点
对于侦查办案人员,这类案件需要侦查人员对犯罪嫌疑人的网络虚拟身份与自然人身份进行同一认定,即从网络空间数据逆向回溯目标电子设备,再进一步追溯物理空间行为人㊂当前,侦查活动往往在案件发生后介入,物理空间和虚拟空间的隔离给侦查工作带来一系列困难[3],这类案件存在侦查上的难点㊂
(1)缺少电子数据采集标准或规范㊂在受害人报案后,有的接警人员不清楚应该采集哪些涉案电子数据,没有及时有效采集涉案App㊁聊天记录㊁短信和图片等相关证据㊂有的案件中受害人在安装
App 后,在犯罪嫌疑人的诱导下把App 样本等电子数据删除,基层办案单位由于缺少一些专门的取证工具,不能及时采集和固定与案件相关的电子数据,导致后期侦查遇到困难㊂还有的接警人员缺少专业知识技能,不知道如何采集这些信息,不了解采集这些信息对后期侦查的作用㊂
(2)缺少高级专业人才和App 样本库㊂由于这类案件都是运用平台软件实施,对App 样本的溯源分析成为从源头上打击违法犯罪的关键所在,这需要掌握Android 和iOS 开发技术㊁静态反编译㊁动态调试和流量分析技术,难度大,专业人才少㊂在办案时,需要根据App 基本信息和代码结构进行碰撞比对,需要建立比较大的样本库㊂
(3)对涉案域名㊁IP 地址信息流的侦查存在技术手段上的难点㊂一是从2018年后,国际上由于个人隐私保护的问题,对域名设置了隐私保护,无法通过公开查询方式获取到域名注册人㊁管理联系人和技术联系人的个人数据㊂二是对于案件侦查中存活的App,虽然能发现其下载链接地址,但很多服务器地址在,需要通过国际刑警组织调取相关数据;三是现在大部分网站为了加快用户访问速度,都使用了CDN 技术,这样不但隐藏服务器的真实IP,而且都提供了应用防护功能,可对网络攻击行为进行有效检测和拦截,绕过CDN 溯源真实IP 的难度很
大;四是有时犯罪分子为了更好地隐藏自己,躲避打击,实施犯罪的服务器经过多级跳转,从境内到,很难追踪到真正的IP㊂
(4)App 失活”无法继续开展工作㊂涉案App 的存活周期较短,一般为几天至3个月左右,报案时可能提供的涉案App 已经不能再使用,使得侦查办案民警无法开展有效工作㊂
(5)第三方软件平台监管困难㊂第三方软件下载平台很难监管,尤其是安卓系统的软件,本来就是一个开放的平台,犯罪分子一般申请云服务器都是按月交费,遭受打击以后再换IP 地址和域名,继续实施㊂
(6)内部信息资源匮乏㊂涉虚假App 类的案件,需要大量的技术手段来开展分析和溯源工作,但公安内部相关信息资源和侦查手段匮乏,难以深入开展工作㊂
(7)移送起诉阶段存在一些困难㊂有的案件即使能进行到起诉阶段,也存在取证难㊁定性难的问题㊂一是没有及时固定相关证据㊂由于在立案和侦查阶段,办案人员没有及时把涉案App 等关键电子数据固定,会造成移送起诉阶段证据的缺失,或不被检法认可;二是司法鉴定成本高㊂在移送起诉环节,检方一般都会要求对App 的功能㊁后台数据㊁涉案木马等进行司法鉴定,并出具鉴定文书,导致办案成本高;三是法律方面存在争议㊂对涉App 开发者㊁交易者㊁技术服务者等黑灰产链条人员,刑罚处罚低, 主观明知”认定难,不少检察院对 主观明知”理解比较狭义,这样就对办案人员提出了更高的要求㊂
3 涉虚假App 的电信网络犯罪案件的侦查方向针对这类犯罪案件的作案技术原理和技术应用特点,需要以App 信息流和域名㊁IP 地址信息为调查的切入点,采取对应的侦查措施[4]㊂
3.1 App 信息流
App 作为实施链条上的重要环节,对其信息流进行溯源和分析,可以得到一些关键信息,包括基本信息㊁特征信息㊁溯源信息㊁同源信息和功能信息等,如表1所示㊂
  (1)基本信息㊂拿到App 样本后,查看App 的基本信息,如哈希值㊁包名㊁签名信息等㊂App 的哈希值相当于是该款软件的 数字指纹”,如果两款App 名字㊁图标和包名不一样,但哈希值相同,就可以判定这两款App 是同一个软件,来自同一个开发
95㊃
李玲玲等:涉虚假App                                                的电信网络犯罪侦查难点与对策研究
表1 App 信息流分析
基本信息App 的哈希值㊁包名㊁签名信息㊁代码结构特征信息安装App 的时候的敏感权限㊁敏感行为
溯源信息App 开发者㊁域名注册商㊁IP 地址㊁电话㊁邮箱等信息功能信息
App 一般可以实现什么功能,能够证明是否可实现人为操控等
者;分析App 程序的代码结构,如果有些App 具有相同的代码结构,但是签名信息不同,说明这些应用不是同一制作者制作,猜测可能是由同一源码打包而成,从而实现案件的串并,可以从App 的开发者上进行着手侦查㊂
(2)特征信息㊂对App 的敏感权限进行分析,包括是否读取手机用户的联系人㊁短信㊁地理位置㊁摄像头等有关信息的权限等㊂敏感行为有时也是恶意行为,包括用户不知情的情况下是否监控用户手机,是否未经用户许可把手机上的数据上传至服务器等等㊂
(3)溯源信息㊂对App 的源码进行回溯,可以得到域名注册商㊁IP 地址等信息㊂
(4)功能信息㊂对App 进行功能性分析,能够证明是否可实现人为操控等功能,收集违法犯罪的事实,直接认定案件性质,这在后期作为证据在诉讼阶段将起到很大作用㊂对App 样本进行功能性分析,一是把App 放在沙盒中运行,观察App 的运行界面㊁实现的功能,还可通过抓包等方式得到回传服务器域名或IP 地址;二是对App 进行反编译,对安全加固的App 还要采用脱壳等技术,得到源代码㊂分析应用启动时加载的文件,获取用户隐私数据权限列表,检测应用是否收集用户的联系人电话㊁邮件㊁姓名㊁等信息㊂3.2 域名㊁IP 地址信息流
域名可以代替IP 地址作为网址,提供网站的访问入口㊂一般域名可以对应单个IP 地址或多个IP 地址㊂一般在侦查时,可根据以下几种方式进行㊂
(1)调取域名注册信息㊂涉App 一般都是放在网站服务器让受骗者下载,在侦查时可根据被害者提供的链接或短域名网址,向该网站域名服务商调取域名注册信息,包括注册时个人的姓名㊁电话㊁邮箱㊁等,调查托管商信息㊁网站发布的备用域名信息等㊂
(2)调取资金流转信息㊂如果网站的服务器为国内服务托管或租用虚拟主机,则侦查机关还可以到网络服务提供商处调取其缴费的各种汇款方式,包括汇款地址㊁汇款账号㊁银行开户身份证号等信息,从而联系相关银行查询该银行账户的资金流转信息[5]㊂
(3)利用域名研判IP 地址,反查域名信息㊂以域名为基础,通过分析研判,可以获取服务器的IP 地址信息,根据IP 地址定位被调查网站所托管的网站服务器位置,还可利用IP 地址反查域名,还能得到相关域名的备案信息等,侦查时需要利用网络基础知识㊁结合综合查询和相关工具进行分析和鉴别㊂
(4)获取关联网站信息㊂以域名和IP 地址为基础,可获取关联网站信息㊂为了获取更多的线索和证据,侦查人员应通过多种渠道,全面收集关联网站的信息[5]㊂
4 涉虚假App 的电信网络犯罪案件打击和防范对策探讨
  面对电信网络犯罪带来的新形势㊁新变化,
根据当前犯罪的特点和规律,对如何有效地打击和防范电信网络提出以下对策:4.1 制定案件信息采集规范和标准
涉虚假App 的电信网络案件在后期侦查需要用到大量关键信息,如,涉案的App㊁域名㊁IP 地
址㊁短链接㊁二维码等㊂可以制定操作性强的案件信息采集规范和标准下发给基层办案单位,指导基层办案单位开展工作㊂规范从受理案件开始的电子数据采集流程,要给基层办案单位灌输 信息采集即固定证据”的思想,认识到信息采集和固定证据的重要性㊂
4.2 优化案件信息录入平台的功能
在案件信息录入时,优化案件信息采集平台以提高案件信息录入质量,可以通过以下方式:
电信查流量(1)增加虚拟身份和支付方式等涉嫌网络犯罪类案件的关键字段㊂对于涉虚假App 的电信网络案件,增加虚拟身份字段如QQ 号㊁号等社交账号;增加网络支付字段如支付宝账号信息,这些是涉嫌网络类案件的关键信息,此种措施并不会增加基层民警太多的工作量,只是通过系统改进优化录入的案件信息,更便于统计分析和今后的案件串并㊂
(2)增加和App 相关的信息字段㊂对涉及App 的案件,建议录入App 的名称㊁包名㊁哈希值㊁涉案网址或链接字段㊂App 的包名和哈希值是代表此App 的唯一信息,涉案网址或链接录入后即使失效,也可以研判落地案件的相关信息,尤其是随着数据的积累,对总结涉App 案件的规律,开展此类案件的打击具有重要意义㊂同时,案件信息录入平台
06㊃