腾讯移动安全实验室APP威胁情报项目组发现一个吃鸡辅助器的欺诈样本，用户需支付一定金额开启外挂功能，但该样本本身并没有外挂功能。因涉及诈骗用户钱财，建议关注。

1. 软件以“吃鸡辅助器”为名称；

2. 除了展示外挂功能外，还做了反馈界面，公号，客服号码，电话号码，增加用户的信任感；

3. 外挂功能、支付金额、客服号码、电话、公号、折扣等都是通过云端拉取；

4. 使用360加固。

       一、 影响范围

       近期整体样本影响用户数日均超过1w

       目前覆盖周用户数：25400

       累计诈骗金额（由CDG协助查询支付商户得来）：30W

       二、软件行为分析

       1. 软件界面如下，显示支持9款游戏，分别是全民枪战、终结者2、生死狙击、穿越火线、荒野行动、丛林法则、小米枪战、光荣使命、火线精英。

       外挂功能包括：物品透视、任务透视、无后座、暗杀模式、隐身模式、无敌状态、提高回血速度、降低承伤值、提高瞄准精度、游戏加速。

       2. 解锁外挂功能需要付费，微信支付（根据反编译分析，云端还可配置使用支付宝付款，以及折扣信息），收款方为“**商贸”。

       3. 应用内有问题反馈和免责声明，还有媒体订阅号二维码，以及IM客服号码（订阅号信息和IM号码都是从云端拉取），用来增加可信度。

       三、代码分析

       1. 脱壳后逆向分析，发现外挂功能实际是从网上拉取，对应url为：

       http://box*tie.com/open/cjfzq.vip.json

       版本信息通过url拉取，为http://box*tie.com/open/cjfzq.update.json

       adv字段存储订阅号信息，qqkf为IM客服号，phone为客服电话，另外还有控制支付方式、折扣信息等字段。

    2. 在原本逻辑中，开启辅助需要填入游戏id，且开启外挂功能需要支付。如果已经支付，本地的配置文件对应的外挂功能会设置为true。如下所示，this.q是文件名，thisr.get(v1).getKey()+”_type”是功能对应的key。

       为了体验后续流程，伪造了一份功能配置并防止到shared_prefs目录下，开启了所谓的svip功能。

       3. 点击开启辅助后，通知栏会有一个常驻通知“吃鸡辅助器 服务-辅助服务已开启”，但从反编译的代码看，除了弹常驻通知，并没有其他操作，且所有游戏外挂功能都是同样的处理逻辑。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com                   

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。