警惕!“两重宏利” APP 骗局大拆解,民族资产解冻类诈骗再升级

自 2024 年以来，“民族资产解冻” 类诈骗持续作祟，骗局结构愈发复杂，甚至呈现出 “传销化 + 官僚化” 的特征，成为危害群众财产安全的新型混合型犯罪。公安部虽持续开展专项打击行动，坚持 “全链条打击、常态化整治、广范围警示”，但不法分子仍不断翻新手段，假借国家部门名义开发涉诈 APP，让不少群众落入陷阱。

近期，奇点智信监测到一批 “民族资产解冻” 类诈骗 APP。不法分子假借国家相关部门名义，虚构慈善、扶贫等旗号，以缴纳启动资金、会员报名费、投资入股等为由诱骗受害人转账，实施电信网络诈骗。

“两重宏利” APP，正是此类诈骗的典型代表，虚构国债返利噱头，还暗藏传销套路，背后的技术手段更是为监管处置设置多重障碍。下面从骗局套路到技术底层，彻底拆解这个诈骗 APP，教大家识破骗局、守住钱袋子！

0x1 画大饼！“国家项目” 竟是诈骗陷阱

“两重宏利” APP 的骗术，精准抓住了部分群众对 “低投入高回报” 的侥幸心理，甚至专门锁定老年群体下手，其核心套路堪称 “步步为营”：

伪造国家背景，降低警惕：假借国家相关部门名义，虚构 “参与国家建设项目”“发行超长期特别国债” 等噱头，将诈骗包装成 “正规投资”，利用群众对国家政策的信任行骗；
小额诱饵引流，吸引注册：以 “注册每日签到领现金红包”“注册即获 80000 元国债” 为诱饵，用看似无成本的福利吸引用户下载注册，逐步拉近与受害人的距离；
虚构高额返利，诱导投钱：编造虚假投资项目，承诺高额返利，以 “缴纳启动资金、会员报名费” 等名义诱骗受害人转账，收款账户均为来历不明的个人或第三方账户，毫无正规性可言；
发展下线传销，扩大骗局：设置 “层级提成” 机制，发展下线可获充值总额 10% 提成，下线再发展下线还能按 8%、5%、1% 的比例获利，形成金字塔式传销结构，让受害人成为骗局的 “帮凶”。

0x2 藏猫腻！技术层面的三大 “反监管” 手段

为何这类涉诈 APP 能暂时躲避监管？从 “两重宏利” 的技术底层拆解来看，不法分子运用了一系列隐蔽手段，让监测和处置难度大幅提升，这也是当前民族资产解冻类诈骗 APP 的共性问题：

1. 多节点部署 + 云存储托管，源头难追踪

该 APP 由数字天堂 dcload 打包，源代码中硬编码了北京、青岛、上海、成都四个节点的服务地址，服务端还部署在阿里云 OSS 存储服务器，利用正规云服务的分布式架构隐藏真实运营地址，监管部门难以快速定位骗局源头。

2. AES 加密隐藏真实服务器，通信更隐蔽

APP 客户端不会直接连接诈骗服务器，而是先访问固定云服务地址下载AES 算法加密的 txt 文件，文件内才存储着真实的服务器地址，且每次会随机返回 3 个不同地址，解密后可发现多个虚假域名。这种 “加密中转” 的方式，让监管难以直接监测到APP 的真实通信行为。

3. 境外 IP 交互，跨域监管有壁垒

所有虚假域名解析后的最终 IP 为40.81.24.27（归属地中国香港），APP 客户端最终与该境外 IP 完成通信交互。利用境外服务器的跨域特性，规避国内网络监管，增加了全链条打击的难度。

0x3 技术原理深入分析

1. 原理分析

该APP由数字天堂 dcload 打包，服务端部署于阿里云 OSS 存储服务器，其源代码中配置了北京、青岛、上海、成都四个节点的服务地址。客户端会访问云服务地址，下载一个以 AES 算法加密的 txt 文件，该加密文件内存储着真实的服务器地址，通常会返回 3 个不同地址（可随机变化）；相关域名解析后的 IP 为 40.81.24.27（归属地中国香港），最终客户端将与该 IP 完成通信交互，数据流程图如下所示。

2. 代码分析

代码架构，采用dcloud（数字天堂）打包：

硬编码的云服务器地址

解密前：

解密后：

3. 服务器分析

oss6518-01.oss-cn-beijing.aliyuncs.com

oss6518-02.oss-cn-qingdao.aliyuncs.com

oss6518-03.oss-cn-shanghai.aliyuncs.com

oss6518-04.oss-cn-chengdu.aliyuncs.com

lchlapi.mx97dqdgok.com

lchlapi.nq5pkx0hpv.com

lchlapi.2ub2cxlurz.com

lchlapi.b6ljs3wrww.com

lchlapi.l33f20x6an.com

lchlapi.37h1qmw0gg.com

lchlapi.16orwofbyd.com

lchlapi.vnndgjfy88.com

40.81.24.27

该40.81.24.27历史绑定30余个域名，并使用自定签名证书，可能被用于通讯加密躲避检测，最早发现2025/11/16。

0x4 防范建议

1. 针对监管部门而言，处置此类非法 APP 需实施全链路封堵：既要阻断第三方云服务器访问地址，也要同步拦截云服务下发的涉诈域名与 IP 地址，彻底切断 APP 通信链路，从根源上使其无法正常运行、实现闭环处置。

2. 对企业而言，需从严筑牢技术审核防线，坚决杜绝技术工具、云服务等资源被诈骗分子违规利用，避免变相提升涉诈应用的监测溯源与处置难度。

3. 对广大网民而言，要增强识骗防诈意识，提高风险防范能力，凡是打着民族资产解冻旗号要求投资的，皆是诈骗；凡是假借党中央、国务院名义以 “委托”“授权” 为由诱导投资的，皆是诈骗；凡是声称缴纳数十元、上百元会费就能获取巨额回报的，皆是诈骗。

不轻信、不参与、勤核实，天下没有免费的午餐，更没有 “以小博大” 的正规投资。面对各种 “国家项目”“高额返利” 的诱惑，多一份怀疑，多一步核实，就是守住财产安全的最好方式！