30天内30万人中招受骗！深扒“山寨APP”背后的暴利圈钱术

“我们不生产品牌，我们只是品牌的搬运工，总在不经意来到你身旁。”

当互联网渗透到生活的各个角落，我们早已习惯使用各类APP解决吃穿住行，数据的价值不断凸显，一座巨大的金矿渐渐浮出水面，在“有心人”的操纵下，山寨APP开始登堂入室，而这种恶意，从简单的眼球效益，开始转换到长期盯住你的钱包。

早在2015年，360发布《安卓手机应用盗版情况调研报告》中显示，在抽取的10305款正版APP样本中，平均每款正版APP就对应92个盗版APP。

李鬼之风愈演愈烈，仅仅“双十一”前后一个月内，仿冒淘宝、拼多多、京东等山寨购物APP数量接近4000个，覆盖设备超过30万个，通过恶意植入网页挖矿木马，能够轻而易举地窃取用户隐私，侵吞账户资金。

更可怕的是，在暴利驱动下，山寨APP已然形成一条成熟完整的“黑灰产业链”，盘根错节，难以拔除。

01

山寨APP的“迷魂阵”

无利不起早，披着狼皮外衣的高仿APP们，除了靠应用内的大量广告赚取数目可观的广告费外，还能轻松获取用户的账户、隐私及详细的消费内容，将信息充分收集后，就可以“神不知鬼不觉”地进行分类倒卖，或盗取动态密码，转移客户资金。

一个值得注意的现象是， 2018年通过移动应用实施网络诈骗案件尤为突出。 在虚假金融类APP上提交身份证照片、个人资产证明、银行账户、地址等信息的用户超过150万人，大量受害用户向诈骗分子支付了上万元所谓的“担保费”、“手续费”等费用，经济利益受到实质损害 。

工欲善其事，必先利其器，高仿APP在外观上与正版基本相差无几，不仅会使用与正版APP非常相似的名字、LOGO图标和字体等鱼目混珠，并且每个APP都经过了人工复检。（就问你厉不厉害）

比如亚马逊APP的山寨版在LOGO和搜索栏等细节上与正版一模一样，只是页面的字体和商品品类有些不一样。这样的细微差别，若不用心看极难察觉，更遑论不熟悉的新手。

而如淘宝、京东、 唯品会 这样的购物APP还会根据狂欢节对图标进行小改动，无形中也成了山寨APP们的另一层障眼法。

为加强逼真度，用户下载注册后，还能像正版APP那样，进入店铺浏览、搜索商品，甚至还可查看其他用户的评价等。

做戏做全套，山寨APP主要有三种传播方式，其中之一便是通过将下载链接附带在各种优惠促销短信里发送给用户，俗称“利诱”。

今年11月，沈阳的张姓网友下载了一款名为“淘宝天猫优惠券”的APP，页面设计与淘宝画风一致，宣传语上写着“一家专门提供内部优惠券的购物APP”，在每天三四条“9.9元包邮”、“无门槛通用50元券”、“每日半价”的消息轰炸下，该网友心动了。

在经过一系列“比对鉴定”后，网友认为此款APP可信，于是购买下单产品。结果下单10天内显示“已揽件”，15天后显示商品“已下架”，在迟迟收不到商品后，网友选择维权投诉，却被品牌商家告知根本没有此笔订单。比被骗钱更糟心的事还在后面，网友开始接到大量推销骚扰电话，不胜其扰。

第二种方法是进驻第三方软件平台，蹭正版APP的流量来达到不可告人的目的。以在“豌X荚”上下载量高达70余万的“公积金查询”软件为例，该软件不仅没有办法查询公积金，而且软件里还充斥着诸如“网络博彩”、“高额借贷”之类的广告，如果在该APP输入个人信息查询公积金，说不定明天追债公司就找上你了。

而另一个打分五颗星的叫作“快查公积金”的APP，则要“人性”许多。虽然同样无法查询，却有社保代缴功能，只需输入身份证信息，便立即提示可进行社保缴纳的付款操作，这个钱最终会流向哪里无从得知，反正不会是公积金账户就对了。

类似这件的事例在全国多地屡见不鲜：武汉李女士下载某医院APP，收取服务费后却没挂上号；济南韩先生下载“xx银行信用卡”APP，不久后却发现银行卡被频繁盗刷，令人细思极恐。

此外，在隐私条款中，一些APP还暗含很多非正常要求。在被扒皮的名为“12123查违章”的山寨软件中，就在隐私政策中明确声明，会将用户的车辆信息分享给第三方平台进行估值。

同时，这个APP要求开放手机读取和发送短信、拍摄照片视频，还有录音等多项涉及用户隐私的功能，而这些条款与其所提供的服务内容并无相关性。

最猖獗的是，条款里甚至堂而皇之地告诉你，本APP不保证满足用户需求，不保证服务不中断，一言以蔽之，就是出事概不负责，还请自己兜着。

第三种大招则是精心伪装成一些使用度较高的APP，辅以功能多样化来诱使下载，此种操作手段则更具迷惑性。

相信不少人都下载安装过非官方版本的双开微信，改良过的QQ，以及有全站搜索功能、下载不限速的非官方百度云盘。

这些看似强大好用的功能实则隐患无穷。国家互联网应急中心就曾披露过一起典型案例，一款伪装仿冒成“微信”的恶意程序在用户不知情的情况下，收集银行卡、信用卡信息发送到指定的邮箱，并能屏蔽用户所有短信，操控用户的手机，偷跑流量、恶意扣费、网络诈骗等问题纷至沓来。

曾经的方便快捷成了身边的隐形炸弹，这年月，下载个APP也需斗智斗勇，一着不慎“用了个假的APP”，则后患无穷。

02

一站式“灰黑产业链”

“注册备案、行业调研、专业策划、系统架构、开放上架、后期维护……”让人跌破眼镜的是，这样一套看似复杂的高仿APP流程，实际上门槛并不高。

在暴利诱惑下，市面上存在大量的潜在服务。在暗访记者的“再三要求”下，一家宣传页面明确标注“本店不接一切违法类程序软件开发”的企业客服人员立即改了口，并热心问及记者具体开发需求，以便报价。

记者表示要制作一款交通违章查询的APP，并明确说明必须高仿官方设计。客服回复，这类产品的开发周期约在1-2个月，根据功能的多少，价格在2-5万左右。

至于查询服务所需要的数据，客服随即为记者提供了一个出售数据接口的渠道，根据查询的次数收费，提供数据查询的对接服务。比如两万次的违章查询收费在1000元，成本一次五分钱。

不仅如此，交通违章、天气、快递、身份证识别等，都可以在数据公司找到相应的服务内容。只要有利可图，客户做的生意合法还是不合法，已变得不再重要。

为进一步打消记者的疑虑，店铺客服语重心长的告诉记者，他们还会提供完善的售后服务，组建专门的推广团队，通过刷机软件为APP刷评论和下载，让其排名靠前，评论价格0.5元-5元一条，还能为这些虚假评论进行置顶。

至于APP后续的上线和监管，对方技术人员神秘地表示这根本不是问题。据其透露，应用市场在对上架的APP进行审核时，机器审核只进行病毒和兼容性测试，人工审核只审名称、内容是否违规，而对APP名称、图标、宣传语等内容是否存在模仿，为了赚取服务费、追求流量和数据的光鲜，多数应用市场会选择睁一只眼闭一只眼。

由于山寨APP没有办法定义为非法程序，相应地查杀力度也就小很多。即便被举报，下架的APP也不会花力气整改或申诉，而是采取“改头换面”的迂回方式，通过换图标、换文案、换应用截图、换开发者账号等重新提交上架。

若是此路不通，还可通过直接登录服务器下载的形式装进用户的手机。在对话的最后，客服不忘提醒记者尽快下单，早一天完成早一天赚钱。

在这条环环相扣的产业链上，仿冒者们与软件开发公司、数据公司、公关策划公司沆瀣一气，通过为“非法黑产团伙”引流赚得盆满钵满，沦为滋生罪恶的温床。

03

“指尖安全”谁来守护

山寨APP，本质上与PC时代的病毒和流氓软件并无太多差别。

为整治APP乱象，我国成立了12321网络不良与垃圾信息举报受理中心，公安、网信、市场监管等职能部门强化联合执法，对高仿APP的研发者和经营者严惩不贷，根据不同情形，以侵犯公民个人信息罪、盗窃罪等追究刑事责任。

但在打击高仿APP的过程中，仍存在多方协调难、举报下架周期漫长等阻力因素，攻坚的主要战场，依然是作为拦截高仿APP最重要关卡的应用市场。

美媒曾这样报道：“苹果公司在市场推广中声称，比起谷歌不那么严格的安卓智能手机应用平台，它的详细审核是一大优势，可以防止欺诈软件、不当使用其他公司知识产权的软件，以及对消费者有害的软件。”

然而在实践中，苹果公司更关注屏蔽恶意软件，而不会常规检查每天送交到iTunes商店的数千个手机应用同它们所列出的品牌名称之间是否存在合法联系。

这就给了不法分子们可乘之机。以“北京实时公交”APP为例，开发者为江苏一家商贸有限公司，在国家企业信用信息公示系统中，该公司经营范围为“化妆品、服装、日用百货销售”，风马牛不相及。

另一方面，已有国内不少厂商看到了这个应用审核之外的“杀毒”市场。QQ手机管家、360手机助手等老牌手机安全应用，都在提供查杀山寨APP的服务，智能手机厂商如华为、小米等，也在自己的应用商店里加大查处力度，同时为自己出品手机中内置带有查杀山寨APP的安全应用，以期借此走得更远。

野火难烧尽，山寨APP绝不甘于缴械投降，还有更多大招等待出场。不想沦为铡刀下的韭菜，学会“明辨是非”，方是最佳的明哲保身之道。

不妨牢记以下几点“防骗诀”：

1. 选择正规应用市场下载APP，注意查看软件相关安全审核认证凭证；

2. 避免点击第三方发送的不明链接或扫描不明二维码进行下载；

3. 慎重授权获取个人地理位置、身份信息等隐私信息；

4. 若怀疑所下载APP为“山寨”，请立刻卸载，相信你的直觉。

江湖水深，谨防踩雷；年终岁末，小心为上。