危险的币圈 - 揭秘一场虚拟货币空投骗局（001）

请大家严守国内对虚拟货币相关的政策法律，不做违法违规违纪之事！！！
请大家严守国内对虚拟货币相关的政策法律，不做违法违规违纪之事！！！
请大家严守国内对虚拟货币相关的政策法律，不做违法违规违纪之事！！！

### 散布消息
骗子会先在大众主要关注媒体、资讯平台等发布长达几天不等的空投骗局信息，并引导至QQ群等地方开始骗局。
![Screenshot_2023-04-16-10-55-44-01_e39d2c7de19156b0683cd93e8735f348.jpg](https://storage.liesauer.net/2023/04/1472749483.jpg)

### 规避监管

骗子在QQ里的发言极其谨慎，所有发言都是以图片形式进行，防止触发关键字被封禁。
![Screenshot_2023-04-16-10-56-29-70_cb819d8fa60af39fdbc84f6c72b4cf1c.jpg](https://storage.liesauer.net/2023/04/3557876842.jpg)

等到主动询问空投之事时，骗子会再次引导下载一个更加不受监管的聊天软件，而且此类软件还极其可能会藏有病毒代码，盗取用户的隐私以及银行卡、钱包等财产。

![-4e1155874f22cbe5.png](https://storage.liesauer.net/2023/04/3750062545.png)

![Screenshot_2023-04-16-10-56-36-54_cb819d8fa60af39fdbc84f6c72b4cf1c.jpg](https://storage.liesauer.net/2023/04/4171892423.jpg)

这个所谓的“乐言”聊天软件界面与微信非常相似。
![20230416112734.png](https://storage.liesauer.net/2023/04/3329784927.png)

在对这款聊天软件逆向分析也是发现了很多端倪，博主对逆向工程以及安卓代码并不熟悉，所以只是大致的分析了APP，并没有对逆向代码进行分析研究。
1. APK签名证书是2023年3月16日签发的，也符合骗局开始的时间点，而且这个证书是自签的，并不是由合规的CA颁发的有效证书。
2. 存在很多安卓系统锁屏密码文件路径，而且跨越多个版本，手机基础信息，判断越狱提权等敏感字符串。
3. 存在多处动态代码下发执行的相关逻辑。

由此基本可以判断这只是表面聊天软件，其实背地里是一个妥妥的恶意软件。

![APP快照01.png](https://storage.liesauer.net/2023/04/254724519.png)
![APP快照02.png](https://storage.liesauer.net/2023/04/2996343397.png)

### 撒饵钓鱼
骗子为了套取信任，一开始并不会直截了当的开始骗，而是按不同的时间节点进行空投的发放，比如第3天、第7天、第15天这样子，让受骗者尝到甜头，而每一批次的空投价值都在十几到几十不等。而且会有所谓的“老师”每天开启直播教大家如何炒币做合约，更重要的是如果你真的跟着“老师”进行操作，他会要求你“截图报备”，而截图中必会暴露你的财产资金状况，其实就是间接的给鱼儿分类，看你是否是条大鱼，还是只是纯想着薅羊毛的小鱼。

### 开始收网
等到时机成熟，骗子就会以各种各样的形式进行收网，这个的套路是给“老师”实名投票，而所谓的实名投票账号需要去他们给的一个网站上注册并充值30U（约人民币200元左右）的金额，并且还声称投票结束后退回。
![Screenshot_2023-04-10-19-25-00-33_bf0b390311b52c286477fdb4e7fd4b7b.jpg](https://storage.liesauer.net/2023/04/3066360036.jpg)

我对这个网站也做了简单的分析，其网站的质量也是做得非常假。

网站是声称需要实名投票第2天才注册的，是的，他们甚至都没去提前准备。
![域名注册时间.png](https://storage.liesauer.net/2023/04/2626574336.png)

网站部分快照
![20230416120725.png](https://storage.liesauer.net/2023/04/1666170014.png)

而我在对注册接口做分析时，还发现其验证码对应的字段却用的是邀请码的英文，而且密码等敏感字段完全明文传输，毫无安全性可言。
![网站快照11.png](https://storage.liesauer.net/2023/04/2469384905.png)
![网站快照12.png](https://storage.liesauer.net/2023/04/1333831632.png)

正当我犹豫要不要交30U继续跟踪下去时（如果不交，那骗子已经将你区分开了，后续还想待着那基本不可能了），我当时也想了很久，应该不至于在第一波就开始收网跑路吧，当时想了好久还是没决定下来，然后令我没想到的是在过了两天之后，还真的在第一波就收网跑路了！但新的骗局仍在继续，这应该就是他们的优质鱼儿的新骗局了。
![Screenshot_2023-04-16-10-14-45-91_bf0b390311b52c286477fdb4e7fd4b7b.jpg](https://storage.liesauer.net/2023/04/3437807069.jpg)

至此，这个骗局也到此结束了，共历经25天不到，也不清楚有多少人被骗了。

**博主在此次骗局中未受到任何的财产损失，也没有进行合约操作。**