近期，你是否收到来自境外号码以+00、+85开头的短信呢？短信中包含短链接。根据短信内容，肯定是一款色情诈骗软件。经过分析发现，该软件是一款名Niki的小众聊天类软件，采用聊天框架模板开发，运行过程中，利用色情视频为诱饵，线上通过客服、游客群，共享群等方式，传播不良视频，引诱用户充值会员，加入VIP群，进行同城约*服务，然后，线下进行更大金额的消费。软件中包含色情不良视频模块，多个线路入口，采用更换域名/IP的方式，防止被监管部门封堵。软件中还包含非法赌博模块，需通过邀请码注册、登录，软件服务器主要位于日本东京亚马逊云数据中心。

这类以聊天框架样本，近期非常多，多以网络色情+非法赌博为主，该软件属于“H-裸聊敲诈勒索-67620”家族，家族内涉及应用数量5687个，本文就选取其中一条短信,分析研究，从基本运行原理、典型技术分析、关联溯源分析、封堵处置建议等多个方面，全面阐述该类样本的运作模式，防阻断的惯用伎俩，以免网民上当受骗，经济受到损失，也为监管部门治理提供一定的参考思路。

应用名称	NiKi
应用MD5	382221c414195bb886eacc593824aeb5
应用版本	2.7.0
应用签名	CN=toJo0a1fPcq4sw,OU=tHT.ivODfP,O=b0ObFW.sWSg,L=kCNTp,ST=sfmh,C=kI
应用图标

不法分子利用境外短信的方式，群发传播带有短链接内容的短信，短信内容中包含不良信息内容，引诱用户下载。

1.   3.2  运作模式

该应用运行后，会让用户先注册，再登录，注册相对比较简单，没有什么限制，可以任意注册，即可登录。登录后该软件类似于微信界面，客服会主动联系你，并邀请你加入游客群、资源共享群，群里发布各种不良视频，引诱用户充值成为会员，加入到VIP群，同时，该应用还涉及非法赌博业务。

根据3.1章节可知，该应用下载页面的地址是由短链接，从服务器生成的长链接，因此仅阻断下载页面或者下载地址域名，并无法有效阻断该应用。

1.   4.2 服务器地址多变

该应用服务器地址经过多级映射转换，导致服务器的域名及IP地址不断变化，给阻断工作带来极大的挑战。应用设置了多个不同域名线路，用户访问不同的线路，将访问不同的域名，多个域名CNAME到相同的域名别名，解析出不同的服务器IP地址。

1.    4.3  HTTPS/TCP协议

该软件传播地址采用HTTPS协议，服务器通联采用DNS解析，域名映射，然后通过TCP协议通信，若只监测HTTP协议的流量是无法有效阻断的。

1.   5.1 家族关联分析

下面将从包名、签名、应用名称3个维度进行关联分析。

“H-裸聊敲诈勒索-67620”家族，包含3804个不同包名，其中，im.gygfhqkxhy.messenger数量最多，涉及APP数量679个。

“H-裸聊敲诈勒索-67620”家族，包含4874个不同签名，其中，签名MD5为e89b158e4bcf*数量最多，涉及APP数量253个。

“H-裸聊敲诈勒索-67620”家族，包含338个不同名称，其中，名称为Qshm的数量最多，涉及APP数量704个。

1.   5.2 IP溯源分析