freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

山寨APP的神操作,“订阅号助手”一夜变成高考刷题平台
2018-08-16 11:30:38

前言

那些年,我们躲过了“粤利粤”,分清了“营养抉线”,能认出“康帅傅”、“脉劫”、“王老古”, 却没逃过山寨APP的毒害……

山寨APP揭秘

横行霸道的山寨APP

最近,成都人社局表示“社保掌上通”APP并未获得官方授权,大家每天参保的地方竟然是个“山寨货”。

山寨社保APP

山寨社保APP

这不禁让我们想到前几年“山寨APP”横行霸道的那些年......

仅“WiFi万能钥匙”一款产品,其相关山寨产品就高达几百款。

大多通过盗用正版APP的图标和名称,让山寨版和正版看上去一模一样,误导用户下载。

“山寨APP”类似名称

“山寨APP”类似名称

而这样鱼龙混杂市场带来的必定是用户大量的经济损失和APP市场发展的内耗:

2017年11月1日,网友举报“日上免税店”APP非官方授权,该软件开发商承认侵权,并表示无法保证软件内部“链接”到的商品为正版;

2017年12月7日,有一类高度危险的微信盗号木马,手机中毒后微信帐号会被盗,严重威胁微信钱包及微信关联的网银资金安全,有上千名用户受害中招;

2018年7月4日,某网络借贷APP遭山寨,单个受害者损失金额超过4万元;

……

以假乱真的大招们

第一招:挂羊头卖狗肉

比如在浏览器搜索“公众号助手”,出来的是这样的,看起来挺正常的:

山寨公众号助手

当安装完成之后,他出现的是这样的:

山寨APP截图

莫非上天暗示让我回炉重造一波??

而且即便到了登录页面,该应用还是采用的官方“订阅号助手”的logo,真是作假也要做全套啊:

山寨APP截图2

就这样,我原本需要下载一个订阅号助手,而最终被迫下载了一款对我来说无用处的学习应用。

这样的招数在浏览器和不知名的应用商店最多,通过刷排行榜和广告费用的加持,这些“内外不一”的APP冲到了排行的前几,配合上官方应用的外观设计,普通用户不仔细查看很难辨别。

真假难辨

真假难辨

第二招:捆绑下载,货不怕多

在PC端大家经常吐槽“捆绑下载”这件事情,不料发展到如今,移动端也难逃其害。

工信部今年6月公布了2018年一季度检测发现问题的应用软件名单,共计21个应用商店中的46款APP涉及其中,被责令下架。

其中涉及强行捆绑推广其他应用软件、未经用户同意收集使用用户个人信息等问题。此次下架的46款不良应用包括“今日头条新闻”、“QQ同步管理助手”、“神庙逃亡”、“安卓优化大师”等。

工信部发文

“问题应用”

据《软件捆绑安装法律规制研究报告》,这样的捆绑安装软件多采用后台“静默安装”的方式,在安装过程中可以静默安装好预先设计集成的一些常用软件,安装结束以后软件就已经可以使用。

而这样的安装背后部分采用的是“打包技术”(加壳技术),可以将两个程序放在一起打包,让安装器认为是一个软件。目前正规的应用商店是可以识别此种打包软件的,所以我们在官方APP store下载的应用中招率远远小于在其他不知名应用平台下载。

捆绑安装还出现在常见的“自动更新”中,这种“自动更新”是一种伪装的自动更新,事实上捆绑软件就在原先的软件中嵌套着,一旦进行自动更新,就会自动下载捆绑软件。

捆绑安装

捆绑安装

第三招:山寨出品,真假难辨

最后还有一种“山寨APP”展现最为普遍的形式——“姐妹APP”。

此类APP多采用采取在品牌附近打擦边球的方式,抄袭或照搬一些品牌APP的程序代码、名称做成另外一个“姐妹APP”,普通用户很难发现其中区别。

“姐妹APP”

“姐妹APP”

比如上图的“彩票类APP”,仅在苹果官方的应用商城上,可以下载的山寨售彩应用就多达近30款。

在多款安卓系统手机的官方应用商城,以及百度手机助手、360手机助手、腾讯应用宝等平台,亦能够搜出大量的同类应用。

眼花缭乱

眼花缭乱

而且,一些山寨APP的外观设计与中国福彩网官方客户端等正规购买渠道非常相似,迷惑性很强。真真假假、假假真真我们难以辨别。

冲破审核,黑产助力冲榜

使用以上几招,“山寨APP”就基本成型了。但是看到这里,我们就不禁有一个疑问,这些“山寨APP”究竟是如何穿过应用商店的重重审核走到我们眼前的呢?

1.审核

目前在IOS市场和正规的安卓市场对于“恶意山寨APP”的打击和审核力度不断加大,比如在某品牌官方应用市场的上架流程中,需要公司的注册信息以及对于后台恶意代码的具体审核。

审核流程

审核流程

IOS市场审核机制相对安卓市场来说会更加严格。当某类app被认定违规时,苹果会像杀毒软件对待病毒一样,提取这些app的特征码(包括但不限于icon、plist里的特征字段、标题、描述、截图,代码等),无论如何伪装,混淆,均无法通过审核。

ios市场

ios市场

但是在安卓市场,有部分APP通过多国语言本地化的方式规避审核,外区看标题简介是一个小游戏,而中区就是变成了看似著名APP的应用(然而实际还是小游戏),诱骗用户下载,并且在下载后再诱骗用户五星好评解锁根本不存在的所谓“隐藏功能”。

转换名称规避审核

转换名称规避审核

而在广大“山寨APP”的“培养皿”——浏览器和第三方应用市场内,还有更多的山寨APP通过个人开发者上架。

15.jpeg

“山寨APP”

“山寨APP”

关于名称雷同的情况,目前国内大多数移动应用市场并没有对上传的APP进行事先审查商标、名称是否侵权的程序。

通常情况下都是由被侵权的企业主动提出投诉,然后应用市场方面在针对具体的侵权事项进行核实,再做出相应处理。

2.刷下载量

上架之后,在下载量和评论方面,这些“山寨APP”也是丝毫不放松,目前市场上关于“下载应用赚钱”的平台不在少数。

下载应用赚钱

下载应用赚钱

黑产变现,无孔不入

这样“费尽心机”出现在我们眼前的“山寨APP”为黑产带来暴利。不少用户反映在下载“山寨APP”后出现手机话费流失,通讯录隐私泄露,甚至存款流失的情况。

山寨APP黑产

恶意吸费

不少用户反映在下载山寨APP后,出现手机欠费情况。当手机用户在安装了恶意的山寨应用程序以后,存在手机话费流失,通讯录隐私泄露,甚至存款流失的情况。而大部分手机用户如果没有明显的经济损失甚至都发现不了。

恶意吸费

恶意吸费

广告推广

对于出现的广告,好奇的用户如果点击进入,就有可能造成手机费用被扣除,用户稍有不慎就会掉入“收费陷阱”。

广告推广

广告陷阱

隐私泄露、诱骗欺诈

很多山寨APP对于权限要求非常出格,读取短信和通讯录之后,用户隐私泄露后,欺诈短信随之而来。

手电筒应用要求获取地理位置

手电筒应用要求获取地理位置

总结

山寨破解APP也会影响正版APP的下载量和激活量,会破坏正版APP的用户口碑和增加正版APP的投诉几率,对于一些个人开发者,盗版和山寨的危害,足以让个人开发者走向穷途末路。

据艾媒咨询数据显示,截止至2017年第四季度,我国第三方移动应用商店活跃用户达4.64亿人。早在2016年12月,中国移动应用的市场规模就超过6050亿元人民币。与在实体店购物不同,智能手机用户只能凭感觉和经验判断App的真假,而山寨App通常会刻意模仿原版的名称、皮肤、图标,遍地“高仿”,才会有那么多用户上当。

为此,多方需要共同努力:

移动应用开发者:从源头对APP进行保护,通过对Apk的加固、加密、ndk、封装类等多项安全技术对APK文件进行处理,可以阻止“打包党”等破坏者者对APP的破解、注入、反编译等操作,从而消除了APP在推广过程中被破解、盗版的安全风险。

应用商店:加强审核和管理机制,对于应用开发方资质更需要加强监管。

用户:下载前应该选择知名的应用市场,对于来源不明的APP不要轻易下载;安装时注意应用权限;下载后,仔细查看确认图标是否清晰,能否正常启动,如果不能正常启动使用,那么多半是仿冒APP;最好再进行专业工具扫描,确定是否有病毒。

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

# app安全 # 山寨APP
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者