“非法×××App冒充官方平台用户被骗12万”
通过苹果应用商店审核上架、印有福彩LOGO的×××App,为何成了诈骗圈套、黑产提款机?近日,央视新闻报道了一位山东苹果手机用户牟先生,因下载×××App被骗12万元的经历,引发关注。
报道指出,牟先生下载上述×××App后,先后充值8000元,随后被客服告知,充值的钱必须购买×××中奖后才能提取,为挽回损失,牟先生先后充值12万元。直到向App注明的开发者“重庆市福利×××发行中心”求证时,他才得知自己被骗。
“苹果应用商店最近才出现这种诈骗手法,但在安卓应用市场,这类非法App早已屡见不鲜,用户因此被骗4万、8万以及十万以上的案件报道也十分普遍。”阿里安全钱盾反诈实验室技术专家胖柚指出。
钱盾反诈实验室监测数据显示,仅今年7月就拦截到×××类相关恶意应用程序1334个,总安装量超过270万,受害用户分布在全国各地,其中广东省安装用户数最多,安装量约59万。
钱盾反诈实验室监测的恶意应用安装量分布图
非法App三种方式绕过苹果审核
苹果用户一直是黑灰产觊觎的目标群体,虽然苹果厂商频繁更新软件上架审核机制,但仍有不少山寨、非法的应用软件涌现。
胖柚指出,非法应用想绕过苹果的监管机制顺利安装到用户的设备上,从技术层面而言,一般有“利用企业签名”、“伪装×××类游戏”、“利用动态下发代码框架”三种方式。
以伪装成×××类游戏为例,在App内嵌H5页面,包装成×××类游戏先过审,在苹果应用商店上架后,再切换成×××页面,并诱导用户通过短信或微信等充值。
“非法App会设定一些规则诱导受害者不停充值,且决不允许提现。” 胖柚称,受害者充值的金额相当于在游戏应用中购买游戏代币,“即使受害者发觉受骗,非法应用也可通过后台操作轻易更换马甲、疯狂套壳从而继续行骗,让受害者无从投诉,更无法追回被骗的金额。” 这类非法App不仅可以对用户造成财产损失,还存在窃取用户隐私、数据的风险。
对苹果应用商店出现的监管漏洞问题,阿里资深安全专家镇赫建议,平台应要求上架软件方提供开发资质,并进行电话和视频等方式认证,“必须以企业对公账户转账形式,才能开通账号,以提高App包装马甲账号的难度和成本。”