当心!你的App 可能是山寨的
一定程度上,App 市场的繁荣催生了山寨App。
在应用商店中,随手一搜 12306 / 火车票 这些词,出来的结果让人眼花缭乱,而且不止一个软件。
当然,这事并不仅仅发生在 12306 身上,随便在各大应用市场一搜,可以搜到大量山寨软件。
尽管应用商店近些年来不断在提高审核能力,但仍然难以避免其成为山寨软件的重灾区。
据国家互联网金融风险分析技术平台发布的监测数据显示,截至2020年2月底,发现山寨App 2801个,下载量3343.7万次。
由此可见,在海量的山寨软件面前,应用商店面对的无疑是一个更复杂的治理环境。
山寨App 为何如此“放肆”?
首先是仿造成本低。
在某电商平台上以“App定制开发”为关键词进行搜索,发现经营此类业务的商家非常多。虽然平台上显示的报价在几百至几千元以内,但当实际问询几家商家后发现,每款假冒高仿App的开发费在两万至八万元之间。
至于App后续的上线和监管,该商家也表示这根本不是问题。据其透露,应用市场在对上架的App进行审核时,机器审核只进行病毒和兼容性测试,人工审核只审名称、内容是否违规,而对App名称、图标、宣传语等内容是否存在模仿,为了赚取服务费、追求流量和数据的光鲜,多数应用市场会选择睁一只眼闭一只眼。
并且,由于山寨App没有办法定义为非法程序,相应地查杀力度也就小很多。即便被举报,下架的App也不会花力气整改或申诉,而是采取“改头换面”的迂回方式,通过换图标、换文案、换应用截图、换开发者账号等重新提交上架。
其次是技术门槛低,进一步催生了黑灰产。
据顶象安全专家介绍,在黑产市场,制作山寨软件早已暗中形成了一条隐秘而稳定的灰色产业链。
黑灰产通过对App进行反编译,篡改相关参数并植入恶意代码,然后重装打包并发布App,进而窃取用户隐私、恶意推广、骗取钱财等。
黑灰产一般会选择知名度高或者使用多App来进行破解篡改,其制作流程主要有以下几个步骤。
1、以假乱真,混淆视线。黑灰产通过网络爬虫盗取正版App的数据,或者直接通过电商平台购买App模板,直接仿照正版App的图标、首页、名称等设计制作,以达到混淆的目的。
2、绕过审核,市场上架。通过各种方式,将山寨App入驻第三方App市场。由于大多数App市场只是对App进行安全和兼容性测试,以及应用合规审核(检查应用中是否是黄赌毒等违禁内容和服务),对于App是否存在模仿疏于甄别,这就给了违规App堂而皇之登陆正规应用市场的机会。
3、刷榜推广,诱导下载。黑灰产通过刷榜、刷评论、积分墙等方式在应用市场内推广,抢占下载排行榜,提升曝光度和关注度。同时,还会通过短信、社群、社区、网盘等方式诱导用户下载。
山寨App 成为欺诈主要手段
山寨App不仅给企业带来资金损失,更会窃取使用者隐私,造成使用者和企业资金损失。
1、窃取用户隐私。山寨App会自从保存收集用户的账号密码等会被窃取他用,更可能自动读取并复制手机通讯录、相册、位置、聊天信息等隐私信息。
2、盗取账户资金。山寨App会收集到账号信息,及时登录正规App平台,将账号内资金、积分、余额会被黑灰产转走盗用,直接给用户带来财产损失。
3、用于恶意推广。山寨App会通过弹窗、诱导下载等各种方式,推荐用户下载其他App或山寨App,或者为违法App导流,甚至部分App内置木马病毒,自动发布短信、链接等。
4、欺诈收费。山寨App 会向用户收取各种手续费、会员费、服务费、保证金、工本费等等,给用户带来资金损失。
举几个例子。
2019年9月20日,黑龙江双鸭山一位刘女士报警称,她前几日在第三方平台上购买了一张飞机票,就在飞机起飞的前一天,她突然收到短信称行程取消。她电话联系退款,结果被骗15000元。
2022年9月,据央视网报道,家住菏泽市区的刘女士在网上认识了一名炒股专家,在他的介绍下下载了一款理财App,抱着试试看的态度,刘女士先后被骗了200多万。
那么,如何有效防范山寨App ?
App 加固与行业合规双管齐下
毋庸置疑,山寨App 的治理是一个复杂的过程,需要应用商店、App 自身以及使用者的共同努力。
就应用商店而言,需加大审核力度,力求不放过每一个App 的安全审查。
就App 自身而言,更应做好加固工作,提高黑灰产篡改的难度。
顶象 App 加固基于虚拟机原码保护,可以将App 中的可执行文件进行深度混淆、加固,并使用顶象独创的虚拟机技术对代码进行加密保护,使用任何工具都无法直接进行逆向、破解。对 App 进行完整性保护,防止应用程序中的代码及资源文件被恶意篡改。
同时,还可实现对App进行防HOOK保护,检测到配置防hook保护功能的类名、方法名、函数名在被frida、xposed等工具动态hook时候,App进行自动退出操作,以此进行提高防御App安全性,保护App不被注入攻击,抵御恶意侵入,并对App应用中的代码段进行完整性校验,发现代码段被篡改,App应用进行自动退出运行,防止App应用中的代码逻辑被篡改,以此进行动态保护App的源代码安全性。
就App 使用者而言,要有时时防范的意识:
下载App时,要选择正规应用市场,不随意点击不明的链接或扫描不明二维码进行下载;要选择经过相关安全审核认证的App,如果App的下载量过低,或者评分过低,这时候就要留心一下是不是搜索错了;不管使用什么App,一定要谨慎授权获取个人地理位置、身份信息等,避免个人信息泄露;同时,发现所下载的App为“山寨”产品,或存在安全漏洞时,要及时卸载。
当心!你的App 可能是山寨的相关推荐
- 苹果 App Store 出现山寨ChatGPT;Anthropic宣布获得4.5亿美元C轮融资
- APP推广可以耍流氓?这些APP黑科技确实很流氓!
在当今火热的APP市场中,想要让自己的APP得到一定曝光,已经变得越来越困难,而在APP推广方法中,除了常见的ASO优化.付费广告等手段以外,还有一些推广的"奇招怪招",因为它们获 ...
- WiFi万能钥匙龚蔚分享安全之道,打击山寨软件是场拉锯战
[51CTO.com原创稿件]3月7日,在WiFi万能钥匙组织的"安全之道"沙龙中,WiFi万能钥匙首席安全官龚蔚从移动互联网威胁讲起,展示了打击山寨软件的最新成果以及WiFi万能 ...
- 一个APP开发者的愤慨:为啥会有打包党和上传手机号
一个APP开发者的愤慨:为啥会有打包党和上传手机号 2012-10-09 15:10 来源:百度贴吧 编辑:Loading[纠错]2人评论 A-A+ 怎么开淘宝店 网站优化方法 创业如何获得投资 怎么 ...
- 【爆料】我是一个APP开发者:为啥会有打包党和上传手机号
转载一个好帖子:<[爆料]我是一个APP开发者:为啥会有打包党和上传手机号>.一个苦逼的安卓开发者揭露这个产业链里吸血的"蚊子和蚂蝗".深有同感,谁来管管恶意广告商和山 ...
- 李逵VS李鬼: 易混淆山寨应用盘点
提到山寨很多成功的应用都感觉到非常头疼,好不容易开发出了一款不错的应用,立马就会有人模仿你,要是简单的模仿一下还无可厚非,但是有甚者的山寨也许就是换汤不换药,甚至连应用的名字都十分相似就更别提内容了, ...
- 揭秘Android恶意App挣钱的诀窍
业界对于App如何盈利的问题,虽然已经被很多人讨论过,但是截至目前除了游戏外,还没有很好的结论和案例.很多创业公司因盈利困境,或砸锅卖铁继续坚持,或解散团队.即使是手握千万乃至上亿用户的传统互联网的巨 ...
- 我可能下了一个假的Wi-Fi万能钥匙:竟然有1387个山寨Wi-Fi万能钥匙!
导读 WiFi万能钥匙今天宣布,截至2017年3月,WiFi万能钥匙联合各大应用市场及手机厂商,在各个渠道共筛查出并下架1387个"WiFi万能钥匙"的山寨应用."山寨应 ...
- 分享:揭秘Android恶意App挣钱的诀窍!
2019独角兽企业重金招聘Python工程师标准>>> 业界对于App如何盈利的问题,虽然已经被很多人讨论过,但是截至目前除了游戏外,还没有很好的结论和案例.很多创业公司因盈利困境, ...
- Android开发笔记(七十三)代码混淆与反破解
代码混淆 ProGuard是ADT自带的apk混淆器,它的用途有: 1.压缩apk包的大小,能删除无用的代码,并简化部分类名和方法名. 2.加大破解源码的难度,因为部分类名和方法名被重命名,使得程序逻 ...
最新文章
- 2015年计算机初中,2015北京小升初电脑派位解读
- 现代永磁电机交流伺服系统_【每日文献】2020-002 永磁同步电机模糊自整定自适应积分反步控制...
- 【年度盘点】10个热门Python练习项目
- 《开源思索集》一如何更有效地学习开源项目的代码?
- 不用临时变量交换两个变量的值
- Go语言-基本的http请求操作
- 前端学习(3049):vue+element今日头条管理-请求获取数据
- JSON与Protocol Buffers的一些比较
- Could not find a version that satisfies the requirement Twisted=13.1.0 (from Scrapy)
- 【笔试/面试】—— 奇葩 C/C++ 语法题(二)
- Vue实战之 5.用户管理模块
- 【实战好项目】2021“觅影”医学人工智能算法大赛-5个赛道任你选
- 【Python】 matplotlib 以pdf形式保存图片
- TM Forum的TAM中文架构图
- Krita学习——Qt学习笔记(一)
- JAVA 语言程序设计与数据结构 教材课本源码 和 课后习题答案
- 在linux中使用lftp和sftp下载文件(夹)
- docker 部署 jetbrains license server
- 关于兴业银行接口对接 注意事项
- 智能仓储物流硬核技术资料分享