前言
那些年,我们躲过了“粤利粤”,分清了“营养抉线”,能认出“康帅傅”、“脉劫”、“王老古”, 却没逃过山寨APP的毒害……
山寨APP揭秘
横行霸道的山寨APP
最近,成都人社局表示“社保掌上通”APP并未获得官方授权,大家每天参保的地方竟然是个“山寨货”。
山寨社保APP
这不禁让我们想到前几年“山寨APP”横行霸道的那些年......
仅“WiFi万能钥匙”一款产品,其相关山寨产品就高达几百款。
大多通过盗用正版APP的图标和名称,让山寨版和正版看上去一模一样,误导用户下载。
“山寨APP”类似名称
而这样鱼龙混杂市场带来的必定是用户大量的经济损失和APP市场发展的内耗:
2017年11月1日,网友举报“日上免税店”APP非官方授权,该软件开发商承认侵权,并表示无法保证软件内部“链接”到的商品为正版;
2017年12月7日,有一类高度危险的微信盗号木马,手机中毒后微信帐号会被盗,严重威胁微信钱包及微信关联的网银资金安全,有上千名用户受害中招;
2018年7月4日,某网络借贷APP遭山寨,单个受害者损失金额超过4万元;
……
以假乱真的大招们
第一招:挂羊头卖狗肉
比如在浏览器搜索“公众号助手”,出来的是这样的,看起来挺正常的:
当安装完成之后,他出现的是这样的:
莫非上天暗示让我回炉重造一波??
而且即便到了登录页面,该应用还是采用的官方“订阅号助手”的logo,真是作假也要做全套啊:
就这样,我原本需要下载一个订阅号助手,而最终被迫下载了一款对我来说无用处的学习应用。
这样的招数在浏览器和不知名的应用商店最多,通过刷排行榜和广告费用的加持,这些“内外不一”的APP冲到了排行的前几,配合上官方应用的外观设计,普通用户不仔细查看很难辨别。
真假难辨
第二招:捆绑下载,货不怕多
在PC端大家经常吐槽“捆绑下载”这件事情,不料发展到如今,移动端也难逃其害。
工信部今年6月公布了2018年一季度检测发现问题的应用软件名单,共计21个应用商店中的46款APP涉及其中,被责令下架。
其中涉及强行捆绑推广其他应用软件、未经用户同意收集使用用户个人信息等问题。此次下架的46款不良应用包括“今日头条新闻”、“QQ同步管理助手”、“神庙逃亡”、“安卓优化大师”等。
“问题应用”
据《软件捆绑安装法律规制研究报告》,这样的捆绑安装软件多采用后台“静默安装”的方式,在安装过程中可以静默安装好预先设计集成的一些常用软件,安装结束以后软件就已经可以使用。
而这样的安装背后部分采用的是“打包技术”(加壳技术),可以将两个程序放在一起打包,让安装器认为是一个软件。目前正规的应用商店是可以识别此种打包软件的,所以我们在官方APP store下载的应用中招率远远小于在其他不知名应用平台下载。
捆绑安装还出现在常见的“自动更新”中,这种“自动更新”是一种伪装的自动更新,事实上捆绑软件就在原先的软件中嵌套着,一旦进行自动更新,就会自动下载捆绑软件。
捆绑安装
第三招:山寨出品,真假难辨
最后还有一种“山寨APP”展现最为普遍的形式——“姐妹APP”。
此类APP多采用采取在品牌附近打擦边球的方式,抄袭或照搬一些品牌APP的程序代码、名称做成另外一个“姐妹APP”,普通用户很难发现其中区别。
“姐妹APP”
比如上图的“彩票类APP”,仅在苹果官方的应用商城上,可以下载的山寨售彩应用就多达近30款。
在多款安卓系统手机的官方应用商城,以及百度手机助手、360手机助手、腾讯应用宝等平台,亦能够搜出大量的同类应用。
眼花缭乱
而且,一些山寨APP的外观设计与中国福彩网官方客户端等正规购买渠道非常相似,迷惑性很强。真真假假、假假真真我们难以辨别。
冲破审核,黑产助力冲榜
使用以上几招,“山寨APP”就基本成型了。但是看到这里,我们就不禁有一个疑问,这些“山寨APP”究竟是如何穿过应用商店的重重审核走到我们眼前的呢?
1.审核
目前在IOS市场和正规的安卓市场对于“恶意山寨APP”的打击和审核力度不断加大,比如在某品牌官方应用市场的上架流程中,需要公司的注册信息以及对于后台恶意代码的具体审核。
审核流程
IOS市场审核机制相对安卓市场来说会更加严格。当某类app被认定违规时,苹果会像杀毒软件对待病毒一样,提取这些app的特征码(包括但不限于icon、plist里的特征字段、标题、描述、截图,代码等),无论如何伪装,混淆,均无法通过审核。
ios市场
但是在安卓市场,有部分APP通过多国语言本地化的方式规避审核,外区看标题简介是一个小游戏,而中区就是变成了看似著名APP的应用(然而实际还是小游戏),诱骗用户下载,并且在下载后再诱骗用户五星好评解锁根本不存在的所谓“隐藏功能”。
转换名称规避审核
而在广大“山寨APP”的“培养皿”——浏览器和第三方应用市场内,还有更多的山寨APP通过个人开发者上架。
“山寨APP”
关于名称雷同的情况,目前国内大多数移动应用市场并没有对上传的APP进行事先审查商标、名称是否侵权的程序。
通常情况下都是由被侵权的企业主动提出投诉,然后应用市场方面在针对具体的侵权事项进行核实,再做出相应处理。
2.刷下载量
上架之后,在下载量和评论方面,这些“山寨APP”也是丝毫不放松,目前市场上关于“下载应用赚钱”的平台不在少数。
下载应用赚钱
黑产变现,无孔不入
这样“费尽心机”出现在我们眼前的“山寨APP”为黑产带来暴利。不少用户反映在下载“山寨APP”后出现手机话费流失,通讯录隐私泄露,甚至存款流失的情况。
恶意吸费
不少用户反映在下载山寨APP后,出现手机欠费情况。当手机用户在安装了恶意的山寨应用程序以后,存在手机话费流失,通讯录隐私泄露,甚至存款流失的情况。而大部分手机用户如果没有明显的经济损失甚至都发现不了。
恶意吸费
广告推广
对于出现的广告,好奇的用户如果点击进入,就有可能造成手机费用被扣除,用户稍有不慎就会掉入“收费陷阱”。
广告陷阱
隐私泄露、诱骗欺诈
很多山寨APP对于权限要求非常出格,读取短信和通讯录之后,用户隐私泄露后,欺诈短信随之而来。
手电筒应用要求获取地理位置
总结
山寨破解APP也会影响正版APP的下载量和激活量,会破坏正版APP的用户口碑和增加正版APP的投诉几率,对于一些个人开发者,盗版和山寨的危害,足以让个人开发者走向穷途末路。
据艾媒咨询数据显示,截止至2017年第四季度,我国第三方移动应用商店活跃用户达4.64亿人。早在2016年12月,中国移动应用的市场规模就超过6050亿元人民币。与在实体店购物不同,智能手机用户只能凭感觉和经验判断App的真假,而山寨App通常会刻意模仿原版的名称、皮肤、图标,遍地“高仿”,才会有那么多用户上当。
为此,多方需要共同努力:
移动应用开发者:从源头对APP进行保护,通过对Apk的加固、加密、ndk、封装类等多项安全技术对APK文件进行处理,可以阻止“打包党”等破坏者者对APP的破解、注入、反编译等操作,从而消除了APP在推广过程中被破解、盗版的安全风险。
应用商店:加强审核和管理机制,对于应用开发方资质更需要加强监管。
用户:下载前应该选择知名的应用市场,对于来源不明的APP不要轻易下载;安装时注意应用权限;下载后,仔细查看确认图标是否清晰,能否正常启动,如果不能正常启动使用,那么多半是仿冒APP;最好再进行专业工具扫描,确定是否有病毒。
*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM