黃娟娟，陳東明，鄧旭龍

（1湖南警察學(xué)院，湖南 長(zhǎng)沙 410138；2 湖南省公安廳刑偵總隊(duì)，湖南 長(zhǎng)沙 410001）

近年來(lái)，“互聯(lián)網(wǎng)+”產(chǎn)業(yè)新模式在推動(dòng)經(jīng)濟(jì)增長(zhǎng)的同時(shí)也為詐騙活動(dòng)提供了契機(jī)，詐騙犯罪者利用虛擬網(wǎng)絡(luò)實(shí)施犯罪，行為更加隱蔽，給案件偵破工作帶來(lái)極大難度，嚴(yán)重侵害人民群眾的財(cái)產(chǎn)權(quán)益，影響社會(huì)和諧穩(wěn)定，社會(huì)反響極為強(qiáng)烈。根據(jù)公安部的數(shù)據(jù)，2020年全國(guó)共破獲電信網(wǎng)絡(luò)詐騙案件25.6萬(wàn)起，抓獲犯罪嫌疑人26.3萬(wàn)名[1]。

為加大打擊力度，公安部提出“2021年實(shí)現(xiàn)電詐案件現(xiàn)場(chǎng)必勘”，牢固樹立“手機(jī)是電詐案件第一現(xiàn)場(chǎng)”理念。通過對(duì)被害人手機(jī)中涉網(wǎng)電子數(shù)據(jù)的勘查，可為偵辦涉網(wǎng)新型犯罪案件提供證據(jù)與線索。根據(jù)公安部網(wǎng)站信息，2020年以來(lái)，通過虛假APP實(shí)施的電信網(wǎng)絡(luò)詐騙案件高發(fā)多發(fā)，詐騙團(tuán)伙利用虛假APP實(shí)施的電信網(wǎng)絡(luò)詐騙案件占該類案件約60%[2]。經(jīng)查詢，發(fā)現(xiàn)僅2021年有1篇關(guān)于安卓手機(jī)APK程序逆向分析取證的研究，暫無(wú)關(guān)于涉詐APP安裝包解析及其信息在打擊電信網(wǎng)絡(luò)詐騙犯罪中應(yīng)用的專門研究。而偵查部門過去主要是對(duì)資金流和信息流進(jìn)行研判，對(duì)涉詐APP相關(guān)信息缺乏知識(shí)支撐，面對(duì)勘查到的海量涉詐APP數(shù)據(jù)無(wú)處下手，導(dǎo)致大量有效信息被擱置。因此，有必要重視對(duì)涉詐APP相關(guān)信息的研究。

本文針對(duì)涉詐APP安裝包的解析方法及其優(yōu)缺點(diǎn)進(jìn)行分析，并對(duì)解析信息在公安工作中的應(yīng)用進(jìn)行了初步探討，對(duì)偵查和預(yù)防打擊此類犯罪有一定指導(dǎo)作用。

一、APP安裝包解析的含義與重要性

（一）APP安裝包解析的含義

APP是Application的縮寫，是指為完成某項(xiàng)或多項(xiàng)特定工作的計(jì)算機(jī)或移動(dòng)設(shè)備程序。隨著移動(dòng)互聯(lián)網(wǎng)和智能手機(jī)的迅速崛起，我國(guó)移動(dòng)APP數(shù)量已超402萬(wàn)，類型多種多樣[3]。據(jù)調(diào)查，當(dāng)前電信網(wǎng)絡(luò)詐騙案件中，手機(jī)APP安裝包常見有安卓系統(tǒng)的APK和IOS系統(tǒng)的IPA兩種文件格式。由于安卓系統(tǒng)的開放性，使得當(dāng)前APK文件在查獲的涉詐安裝包中占比最大。

APP安裝包解析是指使用APP解析工具，對(duì)APP安裝包進(jìn)行反編譯，發(fā)現(xiàn)制作APP文件過程中使用了哪些第三方網(wǎng)絡(luò)服務(wù)。例如：網(wǎng)頁(yè)數(shù)據(jù)的統(tǒng)計(jì)、消息推送服務(wù)等，并據(jù)此找出犯罪團(tuán)伙使用第三方網(wǎng)絡(luò)服務(wù)的賬號(hào)ID。

（二）APP安裝包解析的重要性

1.涉詐APP是實(shí)施電信網(wǎng)絡(luò)詐騙犯罪的主要工具。隨著信息技術(shù)快速發(fā)展，各類APP已成為滿足人民群眾獲取信息、投資理財(cái)、貸款轉(zhuǎn)賬等各類需求的重要渠道，在給日常生產(chǎn)生活帶來(lái)便利的同時(shí)，也被一些不法分子用于違法犯罪活動(dòng)。電信網(wǎng)絡(luò)詐騙類案件中，犯罪分子經(jīng)常采用誘使被害人訪問或運(yùn)行非法APP訪問網(wǎng)站或平臺(tái)，從而控制、影響被害人，實(shí)現(xiàn)騙取、盜取、敲詐財(cái)物的非法目的。2020年以來(lái)，一半以上的電信網(wǎng)絡(luò)詐騙案件使用了虛假APP，其中，各類虛假交友、刷單、購(gòu)物、理財(cái)?shù)纳嬖pAPP已經(jīng)成為當(dāng)前電信網(wǎng)絡(luò)詐騙犯罪鏈條中的關(guān)鍵環(huán)節(jié)。

2.涉詐APP安裝包可通過現(xiàn)場(chǎng)勘查直接獲取。由于涉詐APP是被害人受誘騙安裝在自己的終端設(shè)備上，因此，往往在報(bào)案時(shí)，可以通過專門的設(shè)備采集到程序安裝包，即使程序已被卸載，也可以通過分發(fā)鏈接或二維碼等信息獲取涉詐APP的安裝包。因此，涉詐APP安裝包可通過對(duì)被害人手機(jī)進(jìn)行現(xiàn)場(chǎng)勘查直接獲取，獲取率高，為快速打擊和預(yù)防犯罪提供線索。

3.涉詐APP安裝包解析信息與犯罪各環(huán)節(jié)聯(lián)系緊密。被害人終端設(shè)備中的涉網(wǎng)電子數(shù)據(jù)向前可溯源至推送APP或網(wǎng)址的分發(fā)服務(wù)器或平臺(tái)開發(fā)者，向后可追蹤至犯罪主網(wǎng)站并關(guān)聯(lián)網(wǎng)站搭建、管理、運(yùn)作者，橫向可輻射到APP封裝打包、關(guān)聯(lián)第三方服務(wù)商。因此，安裝包解析信息可反映出實(shí)施電信網(wǎng)絡(luò)詐騙不同環(huán)節(jié)多團(tuán)伙信息，通過對(duì)被害人手機(jī)中涉詐APP的勘查和解析，可為全鏈條打擊電信網(wǎng)絡(luò)詐騙案件提供證據(jù)與線索。

二、涉詐APP安裝包解析方式比對(duì)

APP安裝包解析包括靜態(tài)解析和動(dòng)態(tài)解析兩種方式，但由于大部分勘查人員不了解動(dòng)、靜態(tài)解析的原理、方法及區(qū)別，實(shí)踐中常出現(xiàn)因解析不及時(shí)、不全面或方法錯(cuò)誤而錯(cuò)失重要信息的現(xiàn)象。

（一）解析原理

1.靜態(tài)解析原理

靜態(tài)解析是指通過搭建反編譯環(huán)境，對(duì)APP安裝包進(jìn)行反編譯，對(duì)反編譯出來(lái)的資源文件、源代碼進(jìn)行分析，分析出打包數(shù)據(jù)、號(hào)碼、域名等信息的過程。主要借助相關(guān)技術(shù)手段對(duì)APP安裝包進(jìn)行靜態(tài)分析，通過Apktool、dex2jar、jd-gui、jadx-guibat、Androidkiller、IDApro等工具進(jìn)行反編譯處理[4]。

正常的APK文件主要是以zip格式進(jìn)行壓縮捆綁的文檔，里面主要包含AndroidManifest.xml、Classes.dex和res等文件。在反編譯后會(huì)得到明文的AndroidManifest.xml，里面定義各組件、組件權(quán)限和啟動(dòng)位置、軟件基本信息等，通過對(duì)該xml文件的分析，可以獲取到軟件名稱、包名等基本信息，同時(shí)對(duì)包含的各個(gè)組件進(jìn)行分析。

正常的IPA文件實(shí)質(zhì)也是一個(gè)zip格式文檔，IPA解包后并非直接放置于APPlications目錄下，而是放在一串由隨機(jī)碼構(gòu)成的目錄下，在那串隨機(jī)碼目錄下，除了IPA本身的三個(gè)組件之外，還有Library、Documents、tmp三個(gè)目錄，因此對(duì)IPA文件的解析只能在特定的沙盒中進(jìn)行。

2.動(dòng)態(tài)解析原理

動(dòng)態(tài)解析，主要是在虛擬機(jī)或者沙箱（Sandbox）環(huán)境中執(zhí)行APP程序，在執(zhí)行過程中，取證系統(tǒng)會(huì)完整地記錄惡意程序的所有惡意行為[5]。對(duì)涉詐APP的動(dòng)態(tài)解析主要是指通過搭建網(wǎng)絡(luò)抓包環(huán)境，將APK文件安裝到手機(jī)或模擬器上運(yùn)行，對(duì)手機(jī)或模擬器進(jìn)行網(wǎng)絡(luò)抓包，分析網(wǎng)絡(luò)抓包數(shù)據(jù)，分析出號(hào)碼、IP、域名、第三方服務(wù)ID等信息的過程。所謂抓包就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，經(jīng)常被用來(lái)進(jìn)行數(shù)據(jù)截取等，也用來(lái)檢查網(wǎng)絡(luò)安全。通過對(duì)抓獲的數(shù)據(jù)包進(jìn)行分析，得到有用的信息。

目前流行的抓包工具有很多，比較出名的有wireshark、sniffer、httpwatch、iptool等，通過抓包工具可以查看網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容。如不借助專業(yè)分析平臺(tái)，手工動(dòng)態(tài)分析技術(shù)門檻很高，需要專業(yè)知識(shí)進(jìn)行環(huán)境的搭建、通過各類抓包工具進(jìn)行抓包分析。

（二）解析流程

1.靜態(tài)解析流程

靜態(tài)解析的流程為：一是搭建反編譯環(huán)境，便于后續(xù)操作，這是解析的前提條件，如利用Apktool、dex2jar、jd-gui、jadx-guibat進(jìn)行解析，前提是配置好JAVA環(huán)境，Androidkiller只能在windows平臺(tái)使用；二是利用相應(yīng)的解析工具對(duì)APP安裝包進(jìn)行反編譯，對(duì)反編譯出來(lái)的資源文件、源代碼進(jìn)行審計(jì)和分析；三是對(duì)解析出的打包數(shù)據(jù)、號(hào)碼、域名等進(jìn)行分析。

只要能獲取用于安裝涉詐APP的程序包，即使涉詐APP的后臺(tái)已經(jīng)關(guān)閉，程序無(wú)法運(yùn)行，也能開展靜態(tài)解析。手工靜態(tài)分析技術(shù)門檻高，一般需要專業(yè)知識(shí)和一定的編碼能力及逆向分析能力，通過各類反編譯工具進(jìn)行逆向分析，提取打包信息、域名等有效線索。

2.動(dòng)態(tài)解析流程

動(dòng)態(tài)解析需要在涉詐APP還能運(yùn)行的情況下進(jìn)行。動(dòng)態(tài)解析的流程為：一是要構(gòu)建一個(gè)APP運(yùn)行的虛擬環(huán)境，這是進(jìn)行動(dòng)態(tài)解析的必要前提；二是將手機(jī)APP安裝到手機(jī)或模擬器上運(yùn)行,進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交互；三是利用抓包工具對(duì)手機(jī)或模擬器進(jìn)行網(wǎng)絡(luò)抓包，獲取網(wǎng)絡(luò)數(shù)據(jù)；四是通過對(duì)抓包數(shù)據(jù)的分析，得出號(hào)碼、IP、域名、第三方服務(wù)ID等信息。

（三）解析信息

1.靜態(tài)解析信息

靜態(tài)解析主要能解析出APP基本信息、打包信息等相關(guān)信息。

（1）APP基本信息，主要包括APP名稱、版本、權(quán)限信息、APP的安裝包名、安裝包MD5值、簽名信息及簽名的MD5值。

（2）打包信息，APP封裝打包（下簡(jiǎn)稱“打包”）就是利用打包工具，將手機(jī)網(wǎng)站/H5封裝打包為一個(gè)手機(jī)應(yīng)用安裝程序。一般常用的第三方打包平臺(tái)有數(shù)字天堂、柚子（北京）、不凡、第八區(qū)、成都七扇門等。解析出來(lái)的打包信息主要包括打包工具、打包公司、打包ID、打包時(shí)間等信息，在APP進(jìn)行加密等情況下需要開展動(dòng)態(tài)解析才能實(shí)現(xiàn)打包信息的解析。

2.動(dòng)態(tài)解析信息

動(dòng)態(tài)解析除了能解析出上述靜態(tài)解析的部分?jǐn)?shù)據(jù)，還能解析出靜態(tài)解析無(wú)法獲取的后臺(tái)應(yīng)用服務(wù)器信息、第三方服務(wù)ID等數(shù)據(jù)。

（1）后臺(tái)應(yīng)用服務(wù)器信息。就是APP啟動(dòng)后連接互聯(lián)網(wǎng)服務(wù)器的域名和IP，是偵查破案和獲取證據(jù)的主要線索?？梢詮摹坝蛎\(yùn)營(yíng)商”或者“服務(wù)器提供商”處獲取使用者的相關(guān)信息。

（2）第三方服務(wù)信息。詐騙團(tuán)伙在開發(fā)詐騙APP的時(shí)候，可能需要使用非常多的正規(guī)軟件服務(wù)公司提供的第三方服務(wù)，即云服務(wù)，來(lái)實(shí)現(xiàn)一些功能。比如：在線打包編譯、客服、地圖、推送、統(tǒng)計(jì)、短信、社交分享等等，這些云服務(wù)平臺(tái)的賬號(hào)申請(qǐng)都是根據(jù)相關(guān)法規(guī)進(jìn)行了真實(shí)身份信息錄入的，這個(gè)也為APP溯源提供了可能性，而且這也是詐騙團(tuán)伙最容易忽略的地方。

其中，非常重要的一類第三方服務(wù)就是客服信息，客服的購(gòu)買者屬于開發(fā)者，而直接使用人則為實(shí)施詐騙的人，在分析研判時(shí)，應(yīng)注意區(qū)別，不要搞混淆。

綜上所述，應(yīng)通過動(dòng)、靜態(tài)解析相結(jié)合的方式，盡可能全面地分析源碼和惡意行為，從中挖掘出開發(fā)涉詐程序的團(tuán)伙信息和使用涉詐程序進(jìn)行詐騙的團(tuán)伙信息。由于涉詐APP存活時(shí)間都很短，達(dá)到詐騙目標(biāo)后，或發(fā)現(xiàn)被偵查時(shí)即關(guān)停服務(wù)器，存活期往往只有幾周甚至更短。而動(dòng)態(tài)解析必須在APP還能運(yùn)行的情況下進(jìn)行抓包，因此，接到被害人報(bào)案應(yīng)立即進(jìn)行采集和動(dòng)、靜態(tài)解析，防止涉詐APP的后臺(tái)關(guān)閉、程序無(wú)法運(yùn)行后，大量關(guān)鍵數(shù)據(jù)無(wú)法被解析出來(lái)，丟失重要線索。

（四）解析難點(diǎn)

1.靜態(tài)解析難點(diǎn)

（1）閱讀代碼耗時(shí)費(fèi)力。通過靜態(tài)解析得到的代碼往往是由冗長(zhǎng)復(fù)雜的字符串組成，在大量的字符串中尋找目標(biāo)信息，工作量大，耗時(shí)長(zhǎng)。

（2）APP反調(diào)試。APP反調(diào)試是指對(duì)關(guān)鍵信息輸入及內(nèi)存?zhèn)鬏斪黾用芴幚?防止攻擊者通過內(nèi)存注入等方式竊取使用者輸入的賬號(hào)、密碼等可靜態(tài)獲取的關(guān)鍵信息,通過反調(diào)試技術(shù),對(duì)內(nèi)存信息訪問做嚴(yán)格控制,保護(hù)內(nèi)存中臨時(shí)存在的敏感信息不被讀取,杜絕對(duì)運(yùn)行時(shí)程序數(shù)據(jù)做動(dòng)態(tài)調(diào)試分析，這給動(dòng)靜態(tài)解析均帶來(lái)了難題。

（3）APP代碼被混淆加固。APP代碼混淆技術(shù)是一種使用最廣泛的APP的應(yīng)用代碼保護(hù)技術(shù)，混淆過的APP安裝包難以從中恢復(fù)源碼和獲取通信接口信息，給逆向設(shè)下了障礙。這是當(dāng)前很多涉詐APP安裝包無(wú)法解析出有效數(shù)據(jù)的主要原因。

2.動(dòng)態(tài)解析難點(diǎn)

（1）搭建環(huán)境要求高。動(dòng)態(tài)分析如果不借助專業(yè)分析平臺(tái)，手工動(dòng)態(tài)分析技術(shù)門檻很高，且操作過程復(fù)雜，往往需要花費(fèi)大量時(shí)間，一般手工利用專業(yè)知識(shí)進(jìn)行環(huán)境搭建和抓包分析一個(gè)APP一般需要2天或以上時(shí)間。運(yùn)用專業(yè)平臺(tái)開展動(dòng)態(tài)分析，可以大大減少分析時(shí)間和對(duì)人員的要求。

（2）分析環(huán)境不夠純凈。為了防止APP被逆向分析，有一些APP會(huì)選擇加固，給APP加一個(gè)殼，來(lái)隱藏代碼，提升逆向難度?；蛘咄ㄟ^使用CDN（ContentDeliveryNetwork），即內(nèi)容分發(fā)網(wǎng)絡(luò)，隱藏網(wǎng)站真實(shí)IP，加大解析難度。

（3）APP存活周期短。動(dòng)態(tài)解析需要在APP還能運(yùn)行的情況下進(jìn)行，如果APP已經(jīng)失活，則無(wú)法進(jìn)行動(dòng)態(tài)解析。

從動(dòng)、靜態(tài)解析的原理、流程和難點(diǎn)，可以發(fā)現(xiàn)要利用通用軟件手工進(jìn)行動(dòng)、靜態(tài)解析，對(duì)于非專業(yè)人員，幾乎難以完成，而且耗時(shí)、費(fèi)力。隨著涉及APP詐騙案件數(shù)量的激增，現(xiàn)在很多專業(yè)公司都開發(fā)出簡(jiǎn)單、易操作的解析平臺(tái)。如：高奈特、美亞柏科、平航、奇安信、白虹等公司研發(fā)的解析平臺(tái)，大大降低了工作難度和人員門檻，使得廣泛開展涉詐APP安裝包解析研判工作成為可能。但這些平臺(tái)一般采用的算法不夠全面，因此，在面對(duì)不斷升級(jí)加密方式的涉詐APP，常出現(xiàn)解析不出關(guān)鍵信息的情況，還有待不斷改進(jìn)算法，提升解析能力。

三、涉詐APP解析信息應(yīng)用探究

2021年出臺(tái)的《公安機(jī)關(guān)刑事技術(shù)部門支撐偵辦電信網(wǎng)絡(luò)詐騙案件工作機(jī)制》中提出“要充分利用嫌疑人語(yǔ)音、涉詐APP包名、MD5值、嫌疑人使用的虛擬身份ID、客服ID、涉詐網(wǎng)址或IP地址、涉案賬號(hào)等勘驗(yàn)信息開展案件串并，并及時(shí)開展信息研判”“要匯總涉詐APP包名、域名和IP地址等要素信息，及時(shí)推送省級(jí)反詐部門，建立黑樣本庫(kù)，開展預(yù)警封堵”。文件中多次提到涉詐APP信息，但關(guān)于具體應(yīng)用的方法，暫缺乏相關(guān)研究。筆者認(rèn)為涉詐APP解析信息可從以下幾方面開展應(yīng)用：

（一）串并案分析

APP的基本信息有APP名稱、版本、權(quán)限信息、APP包名、安裝包MD5值、簽名信息及簽名的MD5值等。其中，每個(gè)APP的包名、MD5值都是唯一的，但打包用的簽名信息可以用公共簽名，也可以借用別人的簽名，或使用自己的簽名信息，因此，利用簽名信息及簽名的MD5值進(jìn)行串并案時(shí)，需要視情況而定。此外，為躲避偵查打擊，涉詐APP往往變異非?？?，經(jīng)常通過更換APP名、包名、服務(wù)器、頁(yè)面等，就快速包裝出一個(gè)全新的APP。因此，在進(jìn)行串并案分析時(shí)，除了用APP名或包名，還可以用APP的MD5值、簽名信息等其他數(shù)據(jù)進(jìn)行綜合研判，以免遺漏案件信息，盡可能獲取更多的案件信息，增加偵查線索。

總的來(lái)說，可以利用涉詐APP安裝包動(dòng)、靜態(tài)解析出來(lái)的信息進(jìn)行串并案分析時(shí)，APP名、包名、MD5值以及具有個(gè)體特征的簽名信息是核心關(guān)鍵信息，其他相同的數(shù)據(jù)越多，依據(jù)越充分。僅通用型簽名信息、主域名、域名注冊(cè)商、主服務(wù)器IP、服務(wù)器運(yùn)行商、第三方服務(wù)商等信息相同或部分相同時(shí)，還需依據(jù)其它信息進(jìn)一步確認(rèn)。

同時(shí)，應(yīng)理解APP解析出來(lái)的APP名、包名、MD5值、簽名、域名以及IP地址等信息反映的均是開發(fā)者的信息，不要與使用者弄混淆。也就是說，利用這些信息串并成功的案件，僅反映這些涉詐APP可能是同一個(gè)開發(fā)團(tuán)隊(duì)開發(fā)的，但不能說明是同一個(gè)詐騙團(tuán)伙在使用，且實(shí)際辦案發(fā)現(xiàn)，往往不是同一個(gè)詐騙團(tuán)伙使用，辦案人員應(yīng)正確理解和使用串并案信息。

（二）提供偵查線索和證據(jù)

詐騙團(tuán)伙在開發(fā)用于詐騙的APP時(shí)，會(huì)使用或嵌入很多第三方服務(wù)，如打包、客服、地圖、支付等服務(wù)，必然會(huì)在很多正規(guī)公司留下諸如注冊(cè)信息、購(gòu)買信息和使用信息等信息。因此，可以根據(jù)涉詐APP動(dòng)、靜態(tài)解析出來(lái)的數(shù)據(jù)進(jìn)行研判，再利用解析出來(lái)的信息，去相關(guān)的網(wǎng)站或服務(wù)公司查詢或調(diào)證，獲取相關(guān)信息及其在這些公司平臺(tái)留下了的注冊(cè)信息、購(gòu)買信息和使用信息。這個(gè)過程往往需要多次研判、調(diào)證，才能找到將虛擬身份與真實(shí)身份關(guān)聯(lián)的線索。該過程雖然比較耗時(shí)，但還是應(yīng)該盡量做到每案研判，不放過任何有價(jià)值的線索。

由于不同類型的平臺(tái)提供的服務(wù)類型也不同，使得調(diào)證反饋的數(shù)據(jù)內(nèi)容有一定差別，但總體上可歸為三類：注冊(cè)信息、支付信息和使用信息，其中，注冊(cè)信息包括賬戶名稱、注冊(cè)郵箱、注冊(cè)手機(jī)號(hào)碼、地址等；支付信息包括賬號(hào)或銀行卡號(hào)、支付記錄、支付時(shí)的IP地址等；使用信息包括登錄記錄、聊天記錄、交易記錄等。上述不同類型的數(shù)據(jù)，可以從不同方向?yàn)閭刹樘峁┚€索、為訟訴提供證據(jù)。

1.注冊(cè)信息

反饋的注冊(cè)信息主要包括注冊(cè)人姓名或企業(yè)名稱、身份證號(hào)碼、企業(yè)基本信息、注冊(cè)郵箱、注冊(cè)手機(jī)號(hào)碼、注冊(cè)時(shí)網(wǎng)絡(luò)環(huán)境、注冊(cè)時(shí)間等等與注冊(cè)相關(guān)的信息。

對(duì)于這些反饋信息，應(yīng)正確理解與應(yīng)用，如對(duì)于個(gè)人或單位、手機(jī)號(hào)碼要進(jìn)一步查實(shí)是否與案件相關(guān)；注冊(cè)郵箱、手機(jī)號(hào)碼等可以用來(lái)串并案件；網(wǎng)絡(luò)環(huán)境一方面需進(jìn)一步核查登錄位置，另一方面還可以用來(lái)分析同網(wǎng)絡(luò)環(huán)境的相關(guān)設(shè)備，擴(kuò)大偵查范圍；域名注冊(cè)信息是購(gòu)買人的登記信息，而備案信息是開發(fā)者的登記信息等。

2.支付信息

由于詐騙團(tuán)伙從開發(fā)到使用都需要使用很多正規(guī)公司提供的服務(wù)，就需要為每項(xiàng)服務(wù)支付費(fèi)用，必然會(huì)留下各種支付信息。辦案單位可以通過合法手續(xù)去相關(guān)服務(wù)公司調(diào)證，可以獲取到這類信息，如購(gòu)買域名、租用服務(wù)器、打包、分發(fā)、客服以及其他各種第三方服務(wù)留下的支付信息。

通過支付信息可以再次到相關(guān)支付平臺(tái)或銀行調(diào)證，很可能就能關(guān)聯(lián)實(shí)名，再進(jìn)一步查實(shí)關(guān)聯(lián)的實(shí)名人是否與案件有關(guān)聯(lián)。通過這種方法，很可能就能查實(shí)涉案相關(guān)人員的真實(shí)身份。

支付信息是將虛擬身份與真實(shí)身份能關(guān)聯(lián)起來(lái)的非常重要的途徑，應(yīng)盡量查證解析及調(diào)證出來(lái)的所有支付信息。

3.使用信息

如果是遠(yuǎn)程利用網(wǎng)絡(luò)實(shí)施犯罪活動(dòng)，就必然會(huì)留下網(wǎng)絡(luò)上的痕跡，如登錄記錄、交易記錄、聊天記錄等。其中，登錄記錄可以反映出登錄位置，還可以用來(lái)擴(kuò)大線索，查找同案人員；交易記錄可以反映出收貨地址、購(gòu)買服務(wù)等，還可以通過分析交易記錄，發(fā)現(xiàn)新的線索，如通過充值記錄顯示的其他手機(jī)號(hào)碼、QQ號(hào)碼等，作為查證是否為同伙的依據(jù)，擴(kuò)大偵查范圍，勾畫犯罪團(tuán)伙的組成；聊天記錄不僅完整記錄了詐騙的實(shí)施過程，還可以從中擴(kuò)大偵查范圍，如交易賬號(hào)、手機(jī)號(hào)碼、嫌疑人語(yǔ)音等，涉案可疑賬號(hào)可以進(jìn)行資金的分析研判以及凍結(jié)，語(yǔ)音可以進(jìn)行聲紋比對(duì)、查找實(shí)施詐騙的嫌疑人。

使用信息更多地反映出使用者的信息，較多直接關(guān)聯(lián)到實(shí)施詐騙的團(tuán)伙。

（三）預(yù)警反制

對(duì)詐騙團(tuán)伙開發(fā)的詐騙APP安裝包進(jìn)行動(dòng)、靜態(tài)解析后，會(huì)得到APP包名、簽名信息、服務(wù)器信息、客服系統(tǒng)、打包工具、推送平臺(tái)等信息，利用這些信息進(jìn)行調(diào)證后可能得到開發(fā)者在開發(fā)APP過程中使用的注冊(cè)信息、支付信息和使用信息等，這些信息不僅可以幫助偵辦案件，還可以用于進(jìn)行預(yù)警反制。

1.被害人預(yù)警

可以根據(jù)涉詐APP解析得到的服務(wù)器訪問記錄、客服訪客記錄等信息，搭建預(yù)警模型及時(shí)發(fā)現(xiàn)潛在的被害人信息，再將潛在的被害人信息分級(jí)推送給各地公安機(jī)關(guān)，由各地公安機(jī)關(guān)通過電話勸阻、短信勸阻或者上門勸阻等方式對(duì)潛在被害人進(jìn)行預(yù)警，避免更多的人被詐騙。

2.態(tài)勢(shì)預(yù)警

通過對(duì)錄入偵辦平臺(tái)的電信網(wǎng)絡(luò)詐騙案件APP安裝包進(jìn)行解析，密切關(guān)注發(fā)案態(tài)勢(shì)以及電信網(wǎng)絡(luò)詐騙案件最新的手段變化，以便與公安機(jī)關(guān)及時(shí)研究手段變化、掌握規(guī)律特點(diǎn)，依托互聯(lián)網(wǎng)大數(shù)據(jù)、云計(jì)算、云儲(chǔ)存等建立打擊模型并不斷豐富完善，研究相應(yīng)的打防策略，出臺(tái)有針對(duì)性的方針策略。在目前的解析過程發(fā)現(xiàn)APP安裝包呈現(xiàn)出從解析難度小到加殼、反APP調(diào)試、代碼混淆加固等解析難度增加的變化，電信網(wǎng)絡(luò)詐騙逐漸專業(yè)化。

3.攔截封堵

可以依據(jù)解析信息，應(yīng)建立攔截封堵長(zhǎng)效機(jī)制，注重前期預(yù)警平臺(tái)的使用和完善，需要各地反詐中心與金融、網(wǎng)絡(luò)等監(jiān)管部門打通信息壁壘。從被害人報(bào)警發(fā)現(xiàn)警情，對(duì)采集到的被害人手機(jī)中的涉詐APP當(dāng)場(chǎng)解析，并將相關(guān)信息及時(shí)推送預(yù)警平臺(tái)。依據(jù)相關(guān)信息，第一時(shí)間阻斷資金流轉(zhuǎn)，避免造成財(cái)產(chǎn)損失；同時(shí)通過大數(shù)據(jù)發(fā)現(xiàn)已安裝、使用涉詐APP的潛在受害者，提前攔截封堵，將犯罪扼殺在搖籃里。

由于涉詐APP常偽裝成正規(guī)的貸款類、投資理財(cái)類、股票類APP，如偽裝成安逸花、有錢花、平安好貸等正規(guī)APP的涉詐APP已多達(dá)幾十甚至上百種，其軟件界面與正規(guī)軟件非常相似，極具迷惑性，使群眾防不勝防。因此，接處警民警應(yīng)掌握一些快速鑒別涉詐APP的技巧，在接到報(bào)案時(shí)，能快速判斷是否涉詐，及時(shí)預(yù)警止損。

公安部門應(yīng)會(huì)同中央網(wǎng)信辦，建立涉詐APP網(wǎng)站域名的快速封堵的工作機(jī)制，通過解析發(fā)現(xiàn)的涉詐網(wǎng)站域名，推送給網(wǎng)信辦，由他們進(jìn)行快速封停封堵，使其他人無(wú)法登錄該網(wǎng)站，避免被騙，努力做到詐騙網(wǎng)站登不上、詐騙資金轉(zhuǎn)不出。

（四）信息應(yīng)用要點(diǎn)

以上信息往往需要綜合應(yīng)用，配合其他平臺(tái)信息，才能最大限度發(fā)揮信息的作用。如：據(jù)湖南省某市公安機(jī)關(guān)的上報(bào)材料，2021年，受害人劉某經(jīng)人介紹參與炒比特幣賺錢，通過某涉詐APP被騙137萬(wàn)元。接警后，民警立即采集了受害人手機(jī)中的涉案電子數(shù)據(jù)，并及時(shí)解析出涉詐APK的打包公司及客服公司的注冊(cè)信息，據(jù)此進(jìn)行第一輪調(diào)證。依據(jù)從兩家公司調(diào)證反饋信息中的支付信息開展第二輪調(diào)證，查到兩名嫌疑人的真實(shí)信息及綁定的4個(gè)手機(jī)號(hào)碼和12張銀行卡。根據(jù)本案涉詐APP制作過程中涉及的注冊(cè)和支付人員身份信息、手機(jī)號(hào)碼逐一開展信息研判工作，發(fā)現(xiàn)打包手機(jī)號(hào)實(shí)名綁定的黃某與打包注冊(cè)人張某聯(lián)系頻繁，且根據(jù)黃某的消費(fèi)記錄、物流信息、交通信息和資金流信息等，判斷出其有重大作案嫌疑；根據(jù)其他信息，還研判出其他嫌疑人5人，現(xiàn)抓捕4名嫌疑人。通過后臺(tái)客服聊天數(shù)據(jù)，串并案件409起，全部涉案金額達(dá)9000余萬(wàn)。本案是當(dāng)?shù)厥泄簿殖闪⑿淌录夹g(shù)研判專班首次通過網(wǎng)絡(luò)流信息開展電詐案件分析研判的成功案例。刑事技術(shù)在本案中發(fā)揮了舉足輕重的作用，包括全面快速地采集涉詐信息、精準(zhǔn)解析涉詐APK、“調(diào)證—研判—再調(diào)證—再研判”的全方位多角度調(diào)證以及數(shù)據(jù)碰撞，充分運(yùn)用部刑專、云鏡、云脈、云搜、無(wú)糖、IP高精準(zhǔn)定位等內(nèi)外網(wǎng)系統(tǒng)、小程序進(jìn)行信息研判，最終獲取涉案的關(guān)鍵證據(jù)和涉詐人員所在位置等。由于應(yīng)用網(wǎng)絡(luò)流開展研判的專業(yè)性比較強(qiáng)，因此，成立專門的信息研判專班是快速成功破獲此類案件的基礎(chǔ)。

近年來(lái)，經(jīng)公安機(jī)關(guān)偵查發(fā)現(xiàn)，涉詐APP多由詐騙網(wǎng)站制作而成，一些技術(shù)開發(fā)人員在非法利益驅(qū)使下淪為詐騙團(tuán)伙幫兇，并從編寫程序代碼，到租用服務(wù)器、購(gòu)買域名、域名解析，再到APP封裝和分發(fā)等，形成了一個(gè)分工明確的專業(yè)化犯罪鏈條[6]。APP技術(shù)開發(fā)及上線涉及的技術(shù)含量高、隱蔽性強(qiáng)，成為犯罪鏈條的關(guān)鍵一環(huán)，因此，應(yīng)重視對(duì)APP技術(shù)開發(fā)、域名解析等黑灰產(chǎn)業(yè)關(guān)鍵環(huán)節(jié)的打擊。對(duì)于涉及APP的電信網(wǎng)絡(luò)詐騙案件，應(yīng)創(chuàng)新打法戰(zhàn)法，借助先進(jìn)科技手段提升偵查能力，拓展偵查思維，以快制勝，將涉詐APP安裝包解析信息作為偵查破案的切入點(diǎn)，對(duì)信息進(jìn)行分析研判、調(diào)查取證，深挖信息，并將信息充分應(yīng)用于串并案、偵查破案和預(yù)警反制等幾個(gè)方面，為預(yù)防、打擊、封堵電信網(wǎng)絡(luò)詐騙犯罪提供線索，為訴訟提供證據(jù)。