泛滥成灾的伪App，仍在小唯复活

相片作者@Kunming

文 | 家常财经新闻非官方，译者｜枳椇，撰稿 | 赵晋杰

原本想注册登记锥果乘车的上海车友王晓琳，前段时间被这款名为天高地厚顺风车的小唯APP给骗了。

今年8月底，她第二次使用天高地厚顺风车，被强制性缴交了9块9的车友认证费，最终不但没有注册登记获得成功，连旁人客服人员电话号码都未能贯通。

当她将对个人遭受寄送小鬼举报网络平台上时，才发现被骗的闻所未闻他们三人，更有使用者称他们被介导买回了一年588元的VIP团体会员。

买回了588元VIP团体会员的张勇表示，苹果公司和数十家Android京东都开卖了‘天高地厚顺风车’，从标记和文本以及应用领域如是说，都碰瓷锥果乘车。

如天高地厚两类的简而言之伪APP，便是通过冒用映像APP的工具栏和中文名称，来侵犯使用者合法权益，进而寻求违规买进的开发工具。

伪APP的危害性，并不逊于恶意代码。

上海N53SI241SV辩护律师房产公司投资顾问母吕氏说家常财经新闻，这些出现在介导镜像中的伪APP，与映像APP具有度关联性，除非浏览，难很隐密地违规搜集使用者对个人隐私，特别是通讯录和行踪轨迹等。此外，伪APP也经常频繁弹窗提示兑奖、扣费等，进而实施金融诈骗。

作为伪软件过滤器的应用领域商店，尽管近些年来不断在提高审核能力，但仍然难以避免其成为伪软件的重灾区。

仅去年一整年，苹果公司App Store就封杀了6.35万个盗版APP。凭借封闭生态，安全系数更为强大的App Store尚且如此，更开放的Android系统，在海量的伪软件面前，面对的无疑是一个更复杂的治理环境。

01

互联网领域，一直是伪APP泛滥成灾的重灾区。

2018年社交电商风起云涌之际，拼多多成为卷入伪漩涡的明星公司，身后尾随了一大批伪APP。它们与拼多多仅一字之差，如平多多品多多聚多多等。在早期运营中，这些真假难辨的中文名称，足以迷惑住偏远地区使用者群，老龄人口更是被骗的高危人群。

除了名字，伪APP连经营模式也模仿。比如，这款名为拼趣多的高仿软件，试图模仿社交电商，但设计出的拼团购，单人也能下单，拼团购功能形同虚设。

但在使用者活跃度上，拼趣多还是扑棱了两下。据拼趣多非官方资料，自2017年7月9日正式运营以来，网络平台已累积接近两百万使用者量，月均流水接近500万。

生命力顽强的高仿APP们之所以层出不穷，也与背后技术门槛不高有关。

家常财经新闻发现，一些科技公司在知乎上会做广告宣传，称他们有类似于抖音的短视频APP源码；B站上，更是能直接搜到仿抖音快手的各类开发教程。

制作伪软件，在黑产市场，早已暗中形成了一条隐秘而稳定的产业链。

对于成熟的伪软件开发者来说，几天时间内就可以做出一套前端框架。服务器、源代码、域名、服务商这些内容的创建，通过网上租赁的方式就可以解决。

像这款苹果公司应用领域京东里上线的借贷类APP，有的黑产从业者报价5500元，能达到1:1级别的复制，但这并不包括后续每月的运营费和其他费用。假如仿冒一些上市公司的软件，报价甚至高达近三万元，20天就能完工。

如果想要让这些仿冒APP获得成功上线苹果公司或者Android的应用领域商店，只需要在完工后支付相应的费用即可。

在捞钱的套路上，伪APP也想了很多办法。

比如，这款成本极低的伪软件，只是顶着与映像极其相似的中文名称和工具栏，仅仅通过替换映像软件的广告商、搜集使用者隐私这两种方式，就能赚取巨额的广告费、窃取使用者数据完成诈骗。

苹果公司App Store上甚至专门出现了两类奉行免费订阅 订阅扣费的诈骗软件。

比如这款不起眼的PDF阅读器，一度是美区Mac App Store里浏览量最大的APP。这类小体量的APP介导性极强，使用者安装完成后在使用过程中，页面会弹出一系列欺骗性十足的按钮，三两步就能误导使用者订阅，当免费试用期过了之后，订阅就开始悄悄地扣费了。

为了让更多使用者看见然后订阅，很多伪软件往往还会通过刷浏览量和评论的方式来提高曝光率。

今年2月底，软件开发者凯文 · 阿彻(Kevin Archer)发现，他们开发的Authenticator-2 Factor app软件被这款俄罗斯软件伪了，Authenticator-APP，它的名字与映像十分相似。

这款伪软件要求使用者在初次使用时，就得在应用领域商店进行评价为其增加软件热度。

而且，Authenticator-APP同样采取订阅制，除非使用者忘记取消订阅，每周就要支付3.99美元的订阅费。

02

无数伪APP，暗藏在很多作者不明的镜像和应用领域商店里。每年监管重压之下，都会对这些危险软件，进行一波集中清理下架。

但由于很多APP的开发技术是开源的，伪APP在网络空间中，很难打一枪换一个地方。

这也直接造成Android应用领域商店成为伪软件滋生的沃土。

母吕氏说家常财经新闻，因为Android系统具有开放性，伪APP难出现在Android系统的手机中，而监管对违规违规搜集对个人隐私的APP进行点名下架行动中，也主要是针对Android系统的APP。

国家网信办反诈中心于2022年发布的数据显示，4.2万个仿冒APP受到排查打击，并纳入国家涉诈黑样本库。

更重要的是，伪APP数量，还会随着映像软件的热度水涨船高。

360公司首席反诈骗专家裴智勇曾如是说，当这款映像APP数量超过5000万时，市场上至少会尾随700种各式各样的伪货，而低于10万的APP身后也会有二三十个盗版跟随。

在应付猖獗的伪风险软件这一点上，苹果公司App Store同样无法做到万无一失。

2014年8月，上海陆家嘴国际金融资产交易市场股份有限公司（下称陆金所）在日常安全监控中，发现在苹果公司应用领域商店上，暗藏着这款伪版陆金所非官方应用领域。

这个盗版软件存在安全隐患，可能会误导使用者，陆金所要求苹果公司下架侵权隐患APP，但没有得到苹果公司的正面回应，3个月后，陆金所直接向美国北加州旧金山地区法院递交了起诉状。

事实上，苹果公司商店中出现虚假伪软件并不是新鲜事，比如，曾经出现的《Temple Jump 》《Plant vs. Zombie》，就分别模仿了《Temple Run》《植物大战僵尸》。

03

想要彻底治理伪APP，目前仍是一道难题。

2022年8月1日起施行的《移动互联网应用领域程序信息服务管理规定》中，加强了应用领域商店的对个人隐私保护、内容审核、数据安全责任。

为了解决Android系统开放性带来的APP审核标准不统一难题，隶属工信部的中国信通院泰尔终端实验室特意研发了一套APP签名服务系统，用于构建统一的APP认证签名体系，从APP各个环节中提升可溯源性，并推动解决APP的仿冒问题。

截至目前，包括快手、快手极速版、360手机助手、华为、小米等已纷纷接入了APP签名服务系统。

只要软件的APP签名能经受住考验，就证明这款APP是可靠的。换句话说，APP签名服务系统解决了APP的签名问题，让映像APP获得一份难以被伪造的数字证书。

想要获得这张证书并不难，因此伪APP入门门槛自然被拔高了。

在App Store中，决定这款软件能否被浏览，则是由苹果公司一个叫做App Review的团队决定。

最初，这个审核团队只有三名审核员，负责审查全部的应用领域。但要知道的是，App Store在2008年刚推出时，仅仅只有500款应用领域。

2019年左右，据知情人士透露，苹果公司应用领域审查团队增加到了300多人。而这时，苹果公司应用领域数量已经增长到200多万。

对于坚持人工审核的App Store来说，这是一项耗时的工程，几百人的审核团队处理着成千上万的可疑软件，审核资源仍会显得十分紧张。

据CNBC报道，苹果公司每个审查人员每天需要完成50到100款开发工具审核，每款开发工具的审查时间一般只有几分钟。

在苹果公司App Store开卖或更新应用领域，有40%被拒绝的概率。但如果遇上像素级模仿映像的盗版软件，再加上审核人员审核每款软件的时间有限，还是让很多伪软件成了漏网之鱼。

母吕氏说家常财经新闻，中国网民基数大，APP数量范畴庞杂，加之网民防范意识不强，这些都是伪软件在治理中会遇到的困难。更重要的是，APP开发成本低、变化快，很多底层技术是开源的。即使被下架，很快就可以另起炉灶。

想要真正扮演好伪软件守门人的角色，应用领域商店还需要解决更多的挑战。