一名安全分析师在追查2024年那场轰动国际的RainbowEx骗局时,发现了一个奇怪的现象:这个伪造的加密货币交易平台,底层代码签名竟指向同一套开发工具。它不是黑客自研的黑产利器,也不是暗网流出的定制框架,而是一个在中国至少有数千家企业正在合法使用的开源跨平台解决方案——DCloud Uni-App。顺着这条线索,分析师从RainbowEx一路挖下去,最终挖出一个规模大到让人头皮发麻的诈骗网络,关联的虚假站点超过23.6万个,并且这个数字还在以极快的速度膨胀。
那个分析师来自威胁情报公司Infoblox。在向网络安全媒体Cyber Security News分享的报告中,他明确澄清了一点:DCloud本身与任何欺诈活动无关,它是一家正规的中国软件公司,Uni-App框架被国内大量企业用于移动端和Web端的应用开发。问题出在,网络犯罪团伙也发现这个工具太好用了——一套代码能同时生成iOS、Android和H5版本的页面,部署快、成本低、难以追溯。于是,他们把Uni-App当成搭建诈骗基础设施的首选积木,用近乎流水线的方式批量生产钓鱼网站、虚假交易所和投资陷阱。
最初锁定的数量就已经足够夸张:至少有236493个用于诈骗的二级域名,底层全部跑在DCloud Uni-App框架之上。这里要解释一个概念——二级域名,指的是挂靠在某个主域名下的子站点,比如scam.example.com中的“scam”部分。诈骗团伙最爱用这种方式,因为注册一个主域名后就能无限生成子域名,封掉一个还能火速换另一个,始终保持诈骗页面在线。23万多个这种专门用于诈骗的二级域名,意味着背后诈骗集团几乎搭建起了一座不停自我复制、永远拆不完的迷宫。
让这个数字获得国际关注的导火索,是2024年10月曝光的RainbowEx丑闻。RainbowEx表面上是一个加密货币交易平台,页面精美、数据跳动、客服专业,但在阿根廷圣佩德罗小镇,数以千计的居民把积蓄投入这个平台后,发现根本无法提现。案件跨越国界,惊动多国执法机构,调查人员很快发现,RainbowEx就是基于Uni-App框架制作的。一开始,这看起来像一个孤立的个案。然而,当分析师把RainbowEx的技术指纹放进全球域名扫描系统里一跑,结果就像照妖镜一样,照出了一大片用同样手法搭建的欺诈网站。正如报告中所说,RainbowEx只是庞大犯罪基础设施上肉眼可见的一个尖角,水面下的冰体远比想象的更厚、更成体系。
此后,新冒出来基于DCloud的诈骗站点数量骤然飙升。在高峰月份,监测到的新域名一度达到每月约15000个。这一飞速爬升的曲线,在研究人员看来释放了一个危险信号:当某个漏洞或工具在犯罪地下世界里被验证有效后,起到的不是震慑作用,而是“活广告”效应。越来越多的国际诈欺团伙注意到了这套低廉高效的开发方案,开始加速采购、部署和迭代他们自己的诈骗页面。RainbowEx丑闻没有让这个框架被黑产抛弃,反而让它在诈骗圈子里的知名度直接出圈了。
这类仿RainbowEx的投资诈骗,是DCloud诈骗网络中数量最大的一类。它们通常干两件事中的一件:要么直接冒充一家知名的加密货币交易所,连页面配色、Logo和UI布局都抄得惟妙惟肖;要么虚构一个听上去像模像样的平台名,比如DawnEx、CoinXPro,既不必侵犯真实品牌的商标权,又能让不了解的普通人觉得正规可信。一旦有人上钩,平台就会引导对方通过泰达币或其他稳定币完成充值,然后开始在后台展示虚假的交易记录和盈利数据。所有数字都极为漂亮,唯独提现按钮永远是点击无效的,或者点击以后就再无下文,钱已经彻底消失。
如果以为这个诈骗网络只局限在虚拟的加密货币世界里,那就太小看它了。Infoblox的报告里还牵出了两个跑到真实世界运作的实体项目——它们同样使用了Uni-App构建的网页和客户端来接触受害者。先是一家名为Lightning Shared Scooter Co.的公司,打着共享滑板车的旗号,在美国向投资人兜售一种被动收入模式:你投钱买下几辆滑板车,公司负责运营,每天给你分账。所有信息展示、用户注册、投资跟踪都通过Uni-App构建的门户完成。然而,当投资人真金白银砸进去之后,很快就发现这些所谓奔跑在街头的滑板车,根本不存在。
另一个类似的案子涉及Yuechi Sharing Technology Ltd.,业务版图横跨澳大利亚、新西兰和美国。同样是共享出行概念,同样是Uni-App搭建的线上系统,同样是许诺诱人的回报率,同样是一场精心布置的资金陷阱。这两家公司的操作几乎如出一辙,幕后的技术选型更是“撞衫”得离谱,进一步证明整个诈骗生态的开发者共享了同一套模板、同一套框架,甚至可能是同一个外包团队。
那么,为什么诈骗团伙会对Uni-App如此情有独钟?首先,从攻击者的角度看,它的跨平台特性本身就是一种效率放大器。一次开发,就能同时覆盖移动端APP和网页端,也就是直接打开了安卓用户、苹果用户和PC用户的入口,欺诈面瞬间放大好几倍。其次,Uni-App在国内有庞大的开发者社区和现成的模板市场,即使是能力并不高明的黑产从业者,也能花很低的成本买来一套几可乱真的交易所前端模板,稍作修改就能上线。再者,大量合法应用同样走这套框架,导致它在流量特征和代码指纹上并不具备天然的恶意标记,给检测和拦截带来了额外的难度。
而对于那些轻信了“高收益投资”的普通人来说,眼前这些触感光滑、数据跳动的界面,就是骗局里最危险的一层糖衣。它用技术上的无缝流畅,换取了用户心理上的不设防。当你在一个界面精美、图表专业、客服24小时在线的平台上操作时,质疑精神很容易被削弱。诈骗团伙深知这一点,他们把开发体验良好的正版框架拿过来,反手榨干它在信任感上的一切剩余价值。
Infoblox在对这一庞大诈骗基础设施的扫描中还发现,这些网站所覆盖的语言至少有八种,目标人群早已超越单一语种市场。诈骗页面会根据访问者IP自动切换语言,冒充的对象也不再局限于币安、Coinbase这类尽人皆知的交易所,而是会根据不同地区换上当地用户熟悉的本土平台外观。这种多语言、本地化的操作,无疑让该网络的全球化属性更加强烈,也令各国执法机构在跨境协作时面临更复杂的追踪难题。
RainbowEx事件把DCloud Uni-App从幕后推到台前,但这并不意味着使用该框架的黑产浪潮即将退去。事实上,在此次调查报告公开之前,许多安全厂商和域名注册服务商对这批诈骗站点的识别意识还很低,因为它们外表看起来与普通的小型应用程序没有差别。报告发布后,相关域名可能会迎来一波集中清理,但按照以往的经验,诈骗者无非是换一批主域名,重新生成成千上万个二级域名,继续以相同的技术底座运转下去。
真正值得警惕的,是隐藏在这次事件背后的一个趋势:成熟的商业开发技术正在被系统
热门跟贴