本文来自微信公众号：极验（ID：geetest_jy），作者：张妮美，原标题：《装了这款软件，一部手机能同时运行300个微信号、200个QQ号、100个飞猪号》，封面来自：视觉中国

一个手机运行100个微信号，20个手机就可以运行2000个微信号，装了NZT，黑产的作案效率就能得到指数级增长。

NZT开发者被逮捕了。随着9月6日央视《焦点访谈》节目的播出，改机软件第一次进入到公众的视野。

羊毛党神器

2018年7月，某电商平台的一场红包派发活动出现了异常。共计35万的优惠红包瞬间被领完，但却没有一位“客户”继续浏览网站。他们全部消失了。

为了防止羊毛党薅羊毛，主办方特意做了相关限制。在指定城市，一部本地手机号新注册一个账号，在本地消费时就可以使用一个50元的新用户优惠红包。

不过，这些限制并没有起到作用，羊毛党绕过了平台的规则，

平台方弄清情况后立刻报警，重庆南岸警方接到报案并展开调查，最终在深圳找出了窝藏的犯罪团伙。

35万，每个50元红包。算下来应该有7000个账号，被人薅了7000次羊毛，按照我们通常遇到的一个手机只能注册一个账号计算，那么嫌疑人手上应该有7000部手机，但警方在逮捕现场看到的并不是这样子的。

警方搜遍整个案发现场，只发现了几十部手机而已。几十部手机，是怎样伪装出几千个账号的呢？

通过检查涉案的手机和电脑，警方发现了一个异常的软件——NZT。

NZT能做什么

NZT是一个手机上的改机软件。简单来说，它可以通过修改参数给手机“改头换面”，从而把一部手机伪装有成百上千部手机。

它到底能做些什么呢，通过它的界面来给大家介绍一下。

打开NZT App出现下图的界面，其中“程序列表、一键新机、参数记录、增强插件”四个功能是该App的精华所在。

程序列表：软件适用范围

点击程序列表，可以勾选需要操作和运行的软件，基本上只要是你手机上下载的程序，它都可以伪装，从而注册、登陆多个账号。

参数记录：不同账号轻松切换

一键新机，可以帮助你初次登陆多个不同的账号。

参数记录，则将帮助你记录这所有账号的账号密码和聊天记录，并以下拉账号列表的形式呈现。

点击任意一个账号，你打开相关App时就能以该账号登陆。

增强插件：强大的模拟功能

点击增强列表，你可以看到软件欺骗App的具体内容。

防安装检测：可禁止App获取该装置是否安装了哪个App。

模拟3G网络：可阻止App获取路由器资讯，同时模拟3G网络函式返回值。

随机地理位置：勾选的App会获取到中国地区的随机一个地理位置，还可定位到指定位置。

运营商选择：点选哪个，App就将获取到哪个运营商的内部程式码，点击生效，不需要一键新机后才生效。

该软件最初只针对iPhone系统，随着后面知名度不断提升，需求越来越大，安卓系统也在后面开发出来。Android改机大部分都基于Xposed框架，需要root；iOS大多基于Cydia框架，需要越狱。

NZT的使用场景

NZT的这些功能无一不是为黑灰产而量身打造的，它以不负众望，在各类黑产场景中出现。

领红包薅羊毛

互联网运营拉新、促活总少不了红包激励，不过这些红包往往有很多限制。比如：注册账号领取新用户红包；邀请新用户领取福利红包；针对有地理限制的红包领取机制，修改地理位置实现异地领取。

NZT可以帮助黑产突破限制，通过欺骗App 一个手机注册n个新账号，同时还支持修改地理位置，快速领取红包。

刷赞、刷分享、刷评分和刷榜

主要是解决普通用户的刷量需求获利。如视频、公众号文章的阅读量，App store、淘宝、大众点评的好评。随着黑灰产业的发展，从业门槛逐渐降低，刷量工作室越来越多。

账号售卖

QQ群、微信群、论坛、Telegram群，以及自建或第三方的账号代售平台。可以看到许多账号买卖信息。

养号，卖号，杀猪盘

还有通过NZT+触控精灵的合作，实现养号的功能。触控精灵可以设置自动化的聊天脚本，让机器自己加人，之后按照脚本聊天。这适合广撒网捞人的杀猪盘项目。

NZT开发者自首

警方根据羊毛党购买NZT的聊天记录，顺藤摸瓜在深圳顺利逮捕了NZT全国销售总代理余某。得知余某捕的消息后，沈某迫于压力主动从北京到重庆投案自首。

根据媒体报道，NZT的研发想法来源于一次吐槽。

“余某交代，2015年他和沈某在一个群里认识。一次聊天中，沈某提到网络上的虚拟账号App功能差、优化劣质，如果由他来编写，将提升一个层次。

余某听闻后，私下向沈某建议：你来编程制作App“NZT”，我来负责销售。该提议迅速得到沈某认同，两人一拍即合，各司其职进行前期准备。”

虽然沈某自首了，但要定罪，必须要弄清楚软件如何替换核心参数记录。但沈某对这个问题沉默了。

为了解决这个问题，NZT受害者之一的腾讯公司安全部门积极加入，和警方一起合作，对软件逆向分析，对其工作原理和具体实施细节进行了反复验证，证实其工作原理存在故意犯罪的行为：

通过注入第三方应用程序进程的方式入侵，阻止第三方应用程序对运营环境进行识别，最终达成绕过安防系统的目的。

NZT是按时计费，一周28元，一年240元。根据嫌疑人交代，自“NZT”木马售卖以来，已经非法获利7300余万元。

这7300多万元，是从黑产手上收取的，而黑产的钱又都是从受害者那里欺骗来的。

一个NZT倒下了，还有更多的NZT

有需求就有市场，在黑产的巨大利益驱使下，诞生的可不止一个NZT。据了解，现在市场上还有大量的改机软件，iGrimace、008神器、NZT、AWZ、小白改机、birdfaker、XY修改机等等，NZT在黑产上的市场占有率可能也就在10%左右。

而且上有政策，下有对策，厂商一旦出现什么改版，去识破改机软件的伪装，这些软件也会立马更新，突破其防范策略。

黑产如此努力，厂商必须时刻保持警惕。对黑灰产快速迭代的技术更新，及时发现和持续跟踪，保持提升安全防御能力，才能在这场攻防对抗的持久战中掌握更多的主动权。

本文来自微信公众号：极验（ID：geetest_jy），作者：张妮美，封面来自：视觉中国