李玲玲， 牛军生， 蔡 政

(1.河南警察学院网络安全系， 河南郑州 450000；2.河南省公安厅电信诈骗犯罪侦查总队， 河南郑州 450000；3.河南省信阳市公安局网安支队， 河南信阳 464000)

0 引言

近年来，随着移动互联网技术的快速发展，中国手机网民用户持续增长，截至2020年12月，我国网民规模达到9.89亿，其中手机网民规模达9.86亿，网民使用手机上网的比例达99.7%[1]。手机网民用户的持续增长又推动了手机应用程序的高速发展，截止2020年12月，我国国内市场上监测到的App(Application，移动互联网应用)数量为345万款。一些不法分子利用日益发展的通信技术和快捷支付技术，采取远程、非接触的方式，以虚假App为手段，实施各类电信网络诈骗行为，严重危害了人民群众的财产安全。这些虚假App具有容易复制、版本更新频繁、蹭热点快速传播等特点，主要集中在贷款理财、代办信用卡、刷单返利和社交工具等热门应用上，以仿冒图标、名称等内容为主，界面与正版App基本一致，通过更换图标底色、更改字体等方式偷梁换柱，除了颜色或字体等细微差别，和正版的几乎没有差异，使用与正版App相似的名字和Logo图标，使群众难辨其真伪。搜一个软件名称会出来很多个，看上去都是正版的，甚至有的诈骗App的评论和下载次数都是假的，具有很强的欺骗性。

由于《中华人民共和国网络安全法》《移动互联网应用程序信息服务管理规定》等法律法规，行业与技术标准的相继出台，我国加大了对应用商店、应用程序的安全管理力度。开发者在应用商店申请App上架前，需提交软件著作权等证明材料，这类App很难在应用商店上架，其流通渠道主要集中在网盘、云盘、第三方平台、云服务器等线上传播渠道，已经形成了产业化链条，犯罪成本低、收益高，监管和打击较为困难。

不法分子通过各种方式如电话、短信、网站、社交工具等诱骗受害者下载App实施诈骗，令普通群众防不胜防。此类犯罪无论是从发案数量，造成人民群众的生命财产损失，还是从犯罪行为的产业化和高科技化等方面，都给国家经济安全和社会稳定造成严重的后果，也给当前公安机关打击犯罪、维护社会治安稳定带来重大挑战。

1 涉虚假App的电信网络诈骗犯罪形势和特点

1.1 犯罪形势

近年来，随着公安机关打击犯罪力度的不断加大和社会治安防控体系的不断完善，传统刑事犯罪案件总量持续下降，以电信网络诈骗为代表的新型犯罪案件持续高发[2]，特别是涉App的电信网络诈骗案件逐年升高。以河南省某地区为例，2020年1～12月，该地区电信网络诈骗案件刑事立案总数为2 998起，其中涉虚假App的电信网络诈骗案件为1 415起，占电信网络诈骗案件的47.2%。而该地区2018年涉虚假App的电信网络诈骗案件占电信网络诈骗案件总数的10%，2019年上升到35%，与2018、2019年相比，2020年这类案件上升幅度很大，如图1所示。由于App制作成本低、收益高，目前虚假App已经成为不法分子实施电信网络诈骗的主要载体之一，也是影响社会治安稳定的突出隐患。

图1 河南省某地区涉虚假App案件占比

电信网络诈骗案件根据作案手法，主要分为贷款、代办信用卡类，刷单返利类，杀猪盘和虚假购物、服务类等类别。该地区2020年立案数占据前四位的分别是贷款、代办信用卡类485起(占比34.2%)；刷单返利类383起(占比27%)；杀猪盘348起(占比24.6%)；虚假购物、服务类57起(占比4%)；其他294起(占比10.2%)。需要说明的是，由于电信网络诈骗犯罪案件的大类为非接触性诈骗，包含盗窃、民族资产解冻、套路贷、侵犯财产类犯罪、敲诈勒索、网络赌博等类别和罪名，涉及多个侦查部门。为方便归类研究，把所有非接触类诈骗全部默认为电信网络诈骗案件，对其涉案App进行全量抽取统计。

1.2 犯罪特点

对案件信息进行统计和分析，发现涉虚假App的电信网络诈骗案件有以下几个特点：

(1)App极少通过应用商店，而是通过各种途径得到的链接地址下载。经对案情信息进行分析，发现受害人一般通过以下几种方式下载App：接到电话后被诱骗下载、通过搜索网站下载、收到短信后的链接下载、通过微信QQ等社交工具加好友下载等。其中下载方式高居前四位的分别是：电话占比29%；通过搜索网站占比27%；微信、QQ等社交工具占比22%；短信占比18%；其他方式4%，如图2所示。

图2 虚假APP下载方式占比

值得注意的是，下载方式也出现了一些新变化，有些不法分子穿上了二维码的“马甲”实施诈骗。在以上案件信息中，使用二维码下载的占比约10%，现在吃饭付账、添加微信好友、下载手机应用等，很多人都习惯拿起手机扫描二维码，由于使用便捷、制作和传播成本低，已经成为目前下载诈骗类App的渠道之一。二维码虽然看起来是一个图片，实质上还是一个链接地址，但此种方式由于容易被普通群众接受且更加隐蔽，上升势头很快。

(2)贷款、代办信用卡类等案件迅速增长。2020年以来，由于受新冠疫情影响，经济下行和就业压力加大，生产生活加速向网上转移。贷款、代办信用卡类案件急剧增多，此类案件成为当下群众最易遭受的诈骗手法之一。资金短缺的网民，被贷款诈骗，群众被诈骗金额大，危害突出。常见的贷款、代办信用卡类诈骗流程如图3所示。

图3 贷款、代办信用卡类诈骗流程

(3)受害人支付方式主要以手机快捷支付为主，如手机银行、支付宝微信第三方支付等。近几年，随着金融资金结算方式多样化、快捷化，越来越多的人使用手机快捷支付。经过对案件进行分析和统计，受害人支付方式占比从高到低分别为：手机银行占比33%、支付宝占比21%、银行卡占比15%、微信支付占比10%等。

(4)此类案件一般使用微信或QQ作为通信工具。对案情信息进行分析，使用微信联系的占比55%，使用QQ的占比34%。

(5)受害群体出现年轻化、低龄化的趋势。对已采集的受害人信息进行统计和分析，年龄层次分布30岁及以下的受害群体占比约50%，其中20岁及以下的占约10%；30～50岁(包括)的受害群体约占28%；50岁以上的占约12%，受害群体出现年轻化、低龄化的趋势，犯罪方式涉及青年群体交友、购物、兼职、助学金、考试和社会实践等方面。

(6)群众的法律意识增强，遇到被骗后能及时报案。对案件信息进行统计，1天之内报案的占比约32%，2天之内报案的占比约47%，7天之内报案的占比约72%，88%的受害人都能在1个月内报案，说明目前公安机关加大了电信网络诈骗宣传的力度，群众的法律意识增强，遇到被骗后能及时报案。但也有约5%的案件受害人在案发后3个月及以上的时间才报案，这样可能导致相关App程序、聊天记录、转账记录等缺失，为后期的侦查工作带来困难。

对涉案的App进行分析，发现具备以下几个特点：一是App的制作链条化。随着互联网技术的成熟，App的制作实现了流程化、自动化打包，或者直接将一些网站打包到App中，实际上就是一个网页；二是App的运行需要邀请码。不法分子有一定的保护意识，为了在实施诈骗时躲避第三方的监控，有时需要邀请码才能使用App，这样在侦查过程中就出现无法运行和使用该App，无法分析它的功能；三是App采用了安全加固机制。对App样本通过反编译工具使用得到源码，就能够对源码进行溯源和分析。但现在不法分子防护意识也不断增强，越来越多的App在制作时进行了安全加固处理，通过反编译无法得到源码，对App的分析难度加大。同时，安全加固使用开源软件就可以做到，成本也非常低；四是App变化非常快。为逃避打击，涉案的虚假App经过很短一段时间就失效，不能访问，或者骗成一笔大单即关闭。但是有的不法分子对过去的App“改头换面”，把图标和名称修改一下，或者换一个包名，躲避拦截，逃避打击，继续行骗。

2 涉虚假App的电信网络诈骗犯罪案件侦查难点

对于侦查办案人员,这类案件需要侦查人员对犯罪嫌疑人的网络虚拟身份与自然人身份进行同一认定，即从网络空间数据逆向回溯目标电子设备，再进一步追溯物理空间行为人。当前，侦查活动往往在案件发生后介入，物理空间和虚拟空间的隔离给侦查工作带来一系列困难[3]，这类案件存在侦查上的难点。

(1)缺少电子数据采集标准或规范。在受害人报案后，有的接警人员不清楚应该采集哪些涉案电子数据，没有及时有效采集涉案App、聊天记录、短信和图片等相关证据。有的案件中受害人在安装App后，在犯罪嫌疑人的诱导下把App样本等电子数据删除，基层办案单位由于缺少一些专门的取证工具，不能及时采集和固定与案件相关的电子数据，导致后期侦查遇到困难。还有的接警人员缺少专业知识技能，不知道如何采集这些信息，不了解采集这些信息对后期侦查的作用。

(2)缺少高级专业人才和App样本库。由于这类案件都是运用平台软件实施诈骗，对App样本的溯源分析成为从源头上打击违法犯罪的关键所在，这需要掌握Android和iOS开发技术、静态反编译、动态调试和流量分析技术，难度大，专业人才少。在办案时，需要根据App基本信息和代码结构进行碰撞比对，需要建立比较大的样本库。

(3)对涉案域名、IP地址信息流的侦查存在技术手段上的难点。一是从2018年后，国际上由于个人隐私保护的问题，对域名设置了隐私保护，无法通过公开查询方式获取到域名注册人、管理联系人和技术联系人的个人数据。二是对于案件侦查中存活的App，虽然能发现其下载链接地址，但很多服务器地址在境外，需要通过国际刑警组织调取相关数据；三是现在大部分网站为了加快用户访问速度，都使用了CDN技术，这样不但隐藏服务器的真实IP，而且都提供了应用防护功能，可对网络攻击行为进行有效检测和拦截，绕过CDN溯源真实IP的难度很大；四是有时犯罪分子为了更好地隐藏自己，躲避打击，实施犯罪的服务器经过多级跳转，从境内到境外，很难追踪到真正的IP。

(4)App“失活”无法继续开展工作。涉案App的存活周期较短，一般为几天至3个月左右，报案时可能提供的涉案App已经不能再使用，使得侦查办案民警无法开展有效工作。

(5)第三方软件平台监管困难。第三方软件下载平台很难监管，尤其是安卓系统的软件，本来就是一个开放的平台，犯罪分子一般申请云服务器都是按月交费，遭受打击以后再换IP地址和域名，继续实施诈骗。

(6)内部信息资源匮乏。涉虚假App类的案件，需要大量的技术手段来开展分析和溯源工作，但公安内部相关信息资源和侦查手段匮乏，难以深入开展工作。

(7)移送起诉阶段存在一些困难。有的案件即使能进行到起诉阶段，也存在取证难、定性难的问题。一是没有及时固定相关证据。由于在立案和侦查阶段，办案人员没有及时把涉案App等关键电子数据固定，会造成移送起诉阶段证据的缺失，或不被检法认可；二是司法鉴定成本高。在移送起诉环节，检方一般都会要求对App的功能、后台数据、涉案木马等进行司法鉴定，并出具鉴定文书，导致办案成本高；三是法律方面存在争议。对涉诈骗App开发者、交易者、技术服务者等黑灰产链条人员，刑罚处罚低，“主观明知”认定难，不少检察院对“主观明知”理解比较狭义，这样就对办案人员提出了更高的要求。

3 涉虚假App的电信网络诈骗犯罪案件的侦查方向

针对这类犯罪案件的作案技术原理和技术应用特点，需要以App信息流和域名、IP地址信息为调查的切入点，采取对应的侦查措施[4]。

3.1 App信息流

App作为实施诈骗链条上的重要环节，对其信息流进行溯源和分析，可以得到一些关键信息，包括基本信息、特征信息、溯源信息、同源信息和功能信息等，如表1所示。

表1 App信息流分析

(1)基本信息。拿到App样本后，查看App的基本信息，如哈希值、包名、签名信息等。App的哈希值相当于是该款软件的“数字指纹”，如果两款App名字、图标和包名不一样，但哈希值相同，就可以判定这两款App是同一个软件，来自同一个开发者；分析App程序的代码结构，如果有些App具有相同的代码结构，但是签名信息不同，说明这些应用不是同一制作者制作，猜测可能是由同一源码打包而成，从而实现案件的串并，可以从App的开发者上进行着手侦查。

(2)特征信息。对App的敏感权限进行分析，包括是否读取手机用户的联系人、短信、地理位置、摄像头等有关信息的权限等。敏感行为有时也是恶意行为，包括用户不知情的情况下是否监控用户手机，是否未经用户许可把手机上的数据上传至服务器等等。

(3)溯源信息。对App的源码进行回溯，可以得到域名注册商、IP地址等信息。

(4)功能信息。对App进行功能性分析，能够证明是否可实现人为操控等功能，收集违法犯罪的事实，直接认定案件性质，这在后期作为证据在诉讼阶段将起到很大作用。对App样本进行功能性分析，一是把App放在沙盒中运行，观察App的运行界面、实现的功能，还可通过抓包等方式得到回传服务器域名或IP地址；二是对App进行反编译，对安全加固的App还要采用脱壳等技术，得到源代码。分析应用启动时加载的文件，获取用户隐私数据权限列表，检测应用是否收集用户的联系人电话、邮件、姓名、公司地址等信息。

3.2 域名、IP地址信息流

域名可以代替IP地址作为网址，提供网站的访问入口。一般域名可以对应单个IP地址或多个IP地址。一般在侦查时，可根据以下几种方式进行。

(1)调取域名注册信息。涉诈骗App一般都是放在网站服务器让受骗者下载，在侦查时可根据被害者提供的链接或短域名网址，向该网站域名服务商调取域名注册信息，包括注册时个人的姓名、电话、邮箱、联系方式等，调查托管商信息、网站发布的备用域名信息等。

(2)调取资金流转信息。如果网站的服务器为国内服务托管或租用虚拟主机，则侦查机关还可以到网络服务提供商处调取其缴费的各种汇款方式，包括汇款地址、汇款账号、银行开户身份证号等信息，从而联系相关银行查询该银行账户的资金流转信息[5]。

(3)利用域名研判IP地址，反查域名信息。以域名为基础，通过分析研判，可以获取服务器的IP地址信息，根据IP地址定位被调查网站所托管的网站服务器位置，还可利用IP地址反查域名，还能得到相关域名的备案信息等，侦查时需要利用网络基础知识、结合综合查询和相关工具进行分析和鉴别。

(4)获取关联网站信息。以域名和IP地址为基础，可获取关联网站信息。为了获取更多的线索和证据，侦查人员应通过多种渠道，全面收集关联网站的信息[5]。

4 涉虚假App的电信网络诈骗犯罪案件打击和防范对策探讨

面对电信网络诈骗犯罪带来的新形势、新变化，根据当前犯罪的特点和规律,对如何有效地打击和防范电信网络诈骗提出以下对策：

4.1 制定案件信息采集规范和标准

涉虚假App的电信网络诈骗案件在后期侦查需要用到大量关键信息，如，涉案的App、域名、IP地址、短链接、二维码等。可以制定操作性强的案件信息采集规范和标准下发给基层办案单位，指导基层办案单位开展工作。规范从受理案件开始的电子数据采集流程，要给基层办案单位灌输“信息采集即固定证据”的思想，认识到信息采集和固定证据的重要性。

4.2 优化案件信息录入平台的功能

在案件信息录入时，优化案件信息采集平台以提高案件信息录入质量，可以通过以下方式：

(1)增加虚拟身份和支付方式等涉嫌网络犯罪类案件的关键字段。对于涉虚假App的电信网络诈骗案件，增加虚拟身份字段如QQ号、微信号等社交账号；增加网络支付字段如支付宝账号信息，这些是涉嫌网络诈骗类案件的关键信息，此种措施并不会增加基层民警太多的工作量，只是通过系统改进优化录入的案件信息，更便于统计分析和今后的案件串并。

(2)增加和App相关的信息字段。对涉及App的案件，建议录入App的名称、包名、哈希值、涉案网址或链接字段。App的包名和哈希值是代表此App的唯一信息，涉案网址或链接录入后即使失效，也可以研判落地案件的相关信息，尤其是随着数据的积累，对总结涉诈骗App案件的规律，开展此类案件的打击具有重要意义。同时，案件信息录入平台可以增加涉案App上传功能。App也是一个文件，通过对案件信息录入平台的改进，及时把涉案App文件上传，这样公安机关就能及时掌握涉案的App样本。

4.3 建立涉诈骗App分析比对平台

在实际案件中，涉案App内包含大量的关键信息，如涉案网址、邮箱等。但是APP分析信息提取费时、费力，对于技术要求极高，普通办案人员不具备专业能力，很难对这些涉案App进行分析和提取。通过建立涉诈骗App分析比对平台，该平台和案件信息录入平台实现对接，平台除了汇集案件中采集的涉诈骗App样本，还能定向采集各类虚假App及相关数据。由平台提供App自动分析比对功能，提取出围绕App产生的信息流，如涉案的域名、IP地址、邮箱等信息，并生成分析报告。通过提取有利于案件侦破的一些关键信息，减少办案人员的工作量，给办案人员提供下一步的侦查方向。

4.4 建设完善省级反诈数据统一资源库

群众通过短信、电话、QQ微信收到涉诈骗App的链接后，在未造成实际损失形成诈骗案件前，很难通过一种合适的途径，举报涉诈骗App线索。通过建设完善省级反诈骗数据统一资源库和互联网反诈骗平台，加大数据汇集范围，具备线索发现、追踪溯源等能力，实现对涉诈IP、域名、App有效研判和处置。同时可以实现和案件信息录入平台的对接，实现对办案民警采集的涉诈骗QQ、微信、IP、域名、App等信息的有效研判和处置，提升属地反诈骗大数据运用能力。

也可针对电信诈骗的常见作案方式通过开发打击防范电信网络诈骗犯罪的专用App，提供事前准确识别预警、事中干预提示、事后线索提供、群众自发举报，反诈中心分析比对等功能。

4.5 建立一支打击和防范电信网络诈骗的专业化队伍

目前，基层存在办案人员紧缺的问题，建议要根据发案的规律进行警力配置，警力要跟着警情走。为了解决警力不足与任务繁重之间的矛盾、更高安全需求与能力不足之间的矛盾、形势发展变化与警务体制机制之间的矛盾，成立专业的、高素质的打击电信诈骗队伍是解决这些矛盾、顺应当前需求的必要前提。同时，要加大对基层民警培训力度，提升其工作能力。基层民警普遍反映侦办此类案件缺乏网络安全和取证的相关知识，因此，加大基层民警的培训力度是当务之急，给基层民警培训一些必备的、基础的网络安全和取证技术，包括一些实用的小工具包的使用，以提升基层侦查办案能力。

4.6 加强电诈骗宣传力度，提高群众安全防范意识

由于电信网络诈骗受骗群体现在越来越朝着年轻化、低龄化的趋势发展，特别是新冠疫情的爆发，年轻人不能复工复学，上网时间增多，导致电信网络诈骗案件上升。可以根据案件的动态变化，把一段时间常见的电信网络诈骗的类型和套路总结好，和教育部门对接，加强对中小学、高校宣传教育力度，提高防诈骗意识。

5 结语

目前，电信网络诈骗在诈骗类型、诈骗手法与模式、诈骗技术设备、诈骗产业链等方面呈现出一些新情况、新问题，技术对抗性持续增强。面对新形势下电信网络诈骗治理工作的新挑战、新要求，要加强反制技术研究，强化诈骗信息挖掘研判能力，开展涉电信诈骗和互联网资源的关联分析，积极构建技术防范体系，加强事前防范、事后溯源能力，加强完善产、学、研合作机制，坚决打赢打击治理电信网络新型犯罪攻坚战[6]。