“高仿”APP撈錢套路:蹭官方、發廣告、索取隱私信息

羅亦丹 陳鵬

2020年01月17日08:16  來源:新京報
 
原標題:“高仿”APP撈錢套路:蹭官方、發廣告、索取隱私信息

  平安普惠APP與中郵錢包APP高仿版(右為高仿)。

  商家表示可以制作高仿APP。

  商家表示可以制作高仿APP。

  隨著移動互聯網的日益普及,APP已經成了人們生活中不能離開的東西:買火車票要用12306,查公積金以及生活繳費也有各式各樣的APP。但新京報記者近期調查發現,APP也可能成為坑害消費者的“陷阱”。

  從收到的提額短信、誘導下載鏈接裡,不少名稱、圖標與正版APP相同的假冒APP能夠通過用戶點擊鏈接下載進入用戶手機,再通過繳納工本費、保証金等方式騙取錢財,這類屬於“釣魚APP”。而另一類山寨APP,其名稱、圖標雖不完全與正版APP相同,但極其相似,這些APP通過發送廣告、收集用戶隱私的方式賺取廣告費以及用戶數據。

  在假冒APP與山寨APP的背后,高仿APP的制作已經形成了一條隱秘的產業鏈,黑灰產從業者號稱收費4000元,就可以制作出一款足以以假亂真的12306,而運作10萬元,甚至可以將山寨的APP上架主流應用商店。

  點擊短信卻遭遇“釣魚APP”,平安普惠、中郵錢包被假冒

  “一個月前,我收到了一條‘恭喜您獲得5萬元貸款額度’的短信,署名為中郵消費金融,並附有下載鏈接。我點擊鏈接后下載了一款名為‘中郵消費金融’的APP,但想要借款時,客服要求我繳納工本費,我繳納之后也無法下款,才發現這個APP是假冒的。”1月3日,有網友對新京報記者表示。

  新京報記者了解到,中郵消費金融有限公司是由中國郵政儲蓄銀行等7家企業發起成立的金融機構,經中國銀行保險監督管理委員會批准成立,擁有合法資質。1月13日,中郵消費金融客服對新京報記者表示,其APP叫做中郵錢包,不是中郵消費金融,用戶需要有一些安全防護意識,如果用戶遭遇了這種假冒APP的詐騙行為,其公司有風險部門會去落實,並會對用戶做電話回訪。

  1月11日,新京報記者通過安智市場應用商店下載到了一款名為“中郵金融消費”的APP,發現該APP的圖標、名稱均與正版的“中郵錢包”極其相似,打開“中郵消費金融”APP后記者發現,該APP在“關於我們”一欄中介紹“中郵錢包是國內領先的互聯網金融信貸智能匹配平台”。

  但記者發現,該款“中郵消費金融”APP的開發者顯示為深圳市酷和權安電子商務有限公司,並非中郵消費金融有限公司。工商信息顯示,該公司成立於2016年5月,並在2017年一口氣申請了包括“平安普惠”、“小花唄錢包”、“現金貸上錢”等五套軟件信息系統或管理系統的著作權。

  事實上,該公司開發的“高仿”APP並不隻一個。

  1月12日,新京報記者下載了酷和權安開發的平安普惠APP,發現該APP的名稱與平安普惠企業管理有限公司旗下的正版平安普惠APP一模一樣,而打開該假冒APP后,記者發現,其界面與假冒的“中郵消費金融”如出一轍,只是換了一個顏色。

  新京報記者登錄正版平安普惠APP發現,該APP在首次安裝打開后就彈出了“關於謹防欺詐敬告客戶書”,內容顯示:“近期發現有不法分子偽冒‘平安普惠’或公司工作人員名義,以幫助申請貸款或者幫助提高審批”額度等為由,通過增刷銀行流水或預先收取費用等方式,騙取客戶錢財,上述偽冒行為已涉嫌信貸類電信網絡詐騙違法犯罪。”

  1月13日,平安普惠官方回復新京報記者稱,近期,平安普惠陸續接到客戶舉報,有不法分子偽冒“平安普惠”公司及工作人員,進行惡意廣告短信、電話騷擾。一部分不法分子聲稱可向客戶提供借款服務而收取“保險費”、“手續費”、“擔保費”、“增信費”等各類名目的費用,涉嫌詐騙。上述偽冒行為已涉嫌信貸類電信網絡詐騙違法犯罪,並已嚴重損害“平安普惠”商譽及廣大客戶的合法權益。平安普惠的工作人員不會對外直接使用“中國平安”、“平安集團”、“××銀行”名義進行咨詢服務﹔平安普惠絕不會在放款審批通過前預先要求客戶打款或支付任何名目的費用﹔平安普惠絕不會向客戶索取短信驗証碼、銀行卡密碼等私密信息﹔平安普惠絕不會要求客戶以增刷銀行流水、“匯款走賬”等方式提升信用。

  平安普惠還提醒廣大客戶,仔細核實可疑人員、可疑網站、APP、QQ號、公眾號、可疑營銷或客戶電話號碼的真實性,對任何聲稱可以通過提前支付費用來獲取借款或提高借款額度的行為,都不要相信。

  日前,360金融反詐實驗室通過調研2019年全年假冒借貸APP電信詐騙案例,發布了《2019年假冒借貸APP電信詐騙分析報告》,報告指出,假冒借貸APP騙局是2019年高發的電信詐騙手段,詐騙團伙通過假冒知名借貸類APP,以短信、網頁廣告等形式廣撒網,通過放貸前收取工本費、解凍費、保証金、擔保金等費用名目詐騙用戶錢財,“該騙局最常見的手段是詐騙團伙假冒正規借貸平台客服,通過編織莫須有的名義向受害者收取費用,在收費名目中,工本費以42.8%的佔比位居第一,緊隨其后的是解凍費、保証金和修改費。有不少受害者表示,之前以為在網絡平台借款需要繳納保証金和有關手續費,所以才上了騙子的當。”

  安全反詐騙專家李柚(化名)告訴新京報記者,這類假冒的借貸APP有可能用於電信詐騙,“此種電信詐騙一般是先通過大數據公司購買到有借款記錄的人群,然后通過電話或者短信的方式觸達對方,冒充正版借貸公司的身份,再提供假冒APP的下載鏈接,最后通過貸款已下,但需收取‘工本費’等方式進行詐騙。”

  記者發現,2018年7月4日,酷和權安因侵害商標權糾紛被平安普惠小額貸款有限公司告上了法庭,該案將於近期開庭。

  “通過短信、電話等方式觸達用戶,再通過假冒APP進行詐騙,這種方式其實與通過釣魚網站進行詐騙的套路行為模式差不多,就是把釣魚網站變成了‘釣魚APP’,此類行為構成詐騙罪。”1月12日,北京盈科(杭州)律師事務所方超強律師在接受新京報記者採訪時表示。

  方超強稱,即便不討論是否存在詐騙行為,如果高仿APP使用了和正版第三方APP相近似的商標,或者在宣傳文案中用了不當的文字背景,就構成商標侵權。“目前一些高仿APP為軟件申請了著作權,實際上目前著作權的登記規范不是很嚴謹,証書登記時在起名上沒有太多限制,但是如果証書公開,且沒有合理使用該商標的緣由,那麼這個公開行為就是一個不正當競爭行為,涉嫌利用証書實現攀附第三方APP品牌商譽。”

  山寨APP內含“套娃”廣告,通訊錄定位全泄露

  除了假冒APP外,新京報記者發現,許多名稱和原版APP類似,實為“高仿”的山寨APP也大量存在。這些APP雖然並不直接騙錢,但多含大量廣告,同時會向用戶索取大量隱私信息。

  “我曾收到一個朋友發來的測試‘能借多少錢’的鏈接,下載之后發現是微粒貸APP,我之前在微信小程序裡知道有微粒貸這個名字,就沒有起疑,但最后發現下載了高仿APP,裡面全都是廣告,並不能借錢。”1月初,廣東的鐘先生告訴新京報記者。

  1月9日,新京報記者點擊鐘先生提供的下載鏈接發現,該鏈接在微信內點擊后會出現“惡意網站”的提示,其已經因多人投訴而遭到了微信屏蔽。但記者在應用商店內搜索時,依然能發現疑似“微粒貸”的APP。

  如在華為應用商店和小米應用商店內以“微粒貸”為名稱搜索,會發現一款名為“微粒信用貸”的APP。華為應用商店顯示,該款APP已有14萬次安裝,但評論中有人表示該APP存在詐騙行為,如用戶“杰升”評論稱“這款軟件千萬不能下載,無緣無故扣我費299,一點提示也沒有。”

  記者在微粒信用貸中發現,該APP雖然打著微粒貸的旗號,但實際上是一個“貸款廣告平台”,其中包含有多家貸款品牌的廣告以及APP鏈接。記者在該APP內被告知,隻要進行手機注冊就可以申請到額度,隻不過額度要“下載另一款APP”才能取得,而記者下載了另一款APP后,發現其同樣為貸款廣告平台,又要下載另外一款APP才能成功借款。最終,記者下載了多達5款APP,都沒有找到真正的貸款業務,但在下載APP的過程中,記者的手機號填寫了5次驗証碼,同意了5款APP的包括通訊錄、地理位置等在內的隱私權限。

  此外,通過這種山寨APP“套娃”式下載的APP,往往更加不正規,大部分屬於在主流應用商店無法搜索到的不知名APP,而這些APP在隱私權限和隱私政策方面也往往存有瑕疵。

  1月12日,新京報記者在微粒信用貸中填寫姓名與身份証號等信息,獲取了一款名為“信花”的貸款APP的額度,但在下載該APP以便獲得貸款時,其強制收集用戶的地理位置信息,若拒絕授予就無法安裝。而另一款通過微粒信用貸下載的名為“馬上分期”的貸款APP則在隱私政策中表示用戶將被收取其查看、儲存用戶的姓名、身份証、銀行卡號、通話記錄等隱私信息。通過微粒信用貸“套娃”數次下載的一款“錢夫人”則連隱私政策都沒有,且表示可以“無視征信”下款。

  記者發現,正版的微粒貸已經注意到了山寨產品,其在官方渠道發文稱,“微粒貸沒有獨立的APP,任何盜用‘微粒貸’名義的APP都是假的!”並特意標注了微粒信用貸和微粒錢包貸兩款APP。

  方超強表示,從消費者權益保護的角度來看,此類貸款APP的廣告可能涉嫌消費欺詐,“獲客引流行為如果涉及特殊業態也有可能構成相應犯罪,比如將用戶導流至一些非法放貸機構,就很有可能觸犯非法經營罪,導流至代幣發行融資,就可能涉及非法吸儲,而APP就會成為犯罪的工具。”

  不同應用商店審核嚴格程度不同

  “從技術方面講,仿制一款與正版APP圖標、界面一模一樣的APP並不難,難的是取得他人的信任能夠下載。若APP要上架主流應用商店,必須有軟件著作權以及不違反應用商店的相應規則,這導致那些名稱、圖標、界面等都和正版APP一模一樣的假冒APP基本無法在應用商店上架,隻能通過電信詐騙發送鏈接的方式讓用戶手動下載,而名稱圖標與正版APP類似,但不完全相同的山寨APP則有在應用商店上架的機會。”李柚告訴記者。

  1月7日至12日,新京報記者在不同應用商店查詢APP發現,依據應用商店審核流程和嚴格程度的不同,高仿APP是否泛濫的現象也各不相同。如華為應用商店中雖然可以搜索到微粒信用貸,但搜索不到上文中提到的假冒APP中郵消費金融。而一些獨立的應用商店,如安智市場,就能夠搜索到假冒的中郵消費金融APP。相比之下,手機自帶應用商店對APP的審核程度要嚴於獨立應用商店。

  目前用戶下載APP主要是通過手機自帶應用商店下載,蘋果、華為、小米、OPPO、vivo五大主流應用商店是用戶最常用的官方下載渠道。這些主流應用商店中,基本不存在一模一樣的假冒APP。

  有業內人士表示,高仿APP在上架的同時有的也會配合進行刷分、刷好評操作。如在一些APP推廣平台上,一些APP可以以1元到5元一次的價格安排下載,以達到增加下載量的效果,而用戶評論與評分也可以根據需求花錢搞定。

  方超強告訴記者,山寨類APP屬於“復合型”侵權,包含很多侵權行為,“比如APP圖標的使用涉嫌著作權侵權,還有可能涉及商標權的侵權,如果利用短信描述等行為讓用戶誤以為該APP與另一款第三方軟件相關聯,就形成了惡意攀附第三方軟件或服務的行為,構成了不正當競爭,如果該第三方軟件有一定知名度,如支付寶等,那麼第三方軟件也受反不正當競爭法保護。”

  記者發現,應用商店中還經常搜索出不少圖標相似、名稱差異不大的APP,讓用戶“真假難辨”。

  如一款名為“全球購騎士特權”的優惠券平台APP,該款APP的圖標為黑色背景與金色的騎士頭像。在華為應用商店中,隻能搜索到該APP﹔小米應用商店中,除上述APP外還能搜索出“全球購騎士卡”、“全球公爵黑卡”兩款圖標顏色類似,名稱也類似的APP﹔而在App Store中,除了該APP外,還能搜索出“騎士特權”、“全球公爵黑卡”、“全球騎士特權”、“環球黑卡”四款APP,這四款APP的圖標顏色均為黑金兩色,但開發者各有不同,讓人眼花繚亂。

  1月2日,曾有匿名用戶到黑貓投訴平台上投訴“全球購騎士卡”APP,稱其很多優惠沒有,APP粗糙,“全球購騎士特權”APP則回應該用戶稱,“全球購騎士特權和您提及到的全球購騎士卡是有所區別的,這個情況會反饋到相關部門的同事進行處理”。

  黑產定制“高仿”APP:價格4000到十萬元不等

  假冒APP與山寨APP兩類“高仿”APP是如何制作出來的呢?

  1月7日,新京報記者在電商平台上以制作高仿APP為名咨詢了10家能夠定制APP的商戶,其中有6家表示能夠承接制作高仿APP的需求,2家商戶表示完全仿制不行,但可以做類似的,2家商戶表示不制作高仿APP。

  當記者表示,要仿制一個公積金查詢或12306購買火車票的APP發廣告用時,有商戶表示“懂你的意思,給我想要仿的APP名”。而當記者表示要仿制12306官方APP時,對方回答“約一周時間可以完成,價格4000元,提供兩次售后服務,包需求內修改功能,但不包上應用商店。”

  另一家商戶則表示,制作該款APP並上架應用商店的“概率很大”,“上應用商店要10萬元,除了不能買票外,其他功能都包,可以打廣告,而不上架應用商店的話需要5萬元。”

  還有商戶稱,如果要上應用商店,需要原生開發的APP,價格要12萬起,此外還能採取“封裝集成”的方式制作APP,價格相對便宜,但不好上應用商店,“想要上應用商店需要通過官方的原創檢測,官方會對安裝包程序進行查重,如果是仿制的話提交審核容易因4.3(應用重復)問題被拒,所以需要進行原生開發。”

  有業內人士表示,多數應用商店在APP上架時,機器審核會進行病毒以及兼容性測試。人工審核則重點審核名稱、內容是否存在違規,但對APP是否與其他APP存在內容方面的模仿和抄襲,並非審查重點。

  “實際上,如果你真的有購買火車票的接口和服務器,這類規模的APP制作要50萬元。”有商戶告訴新京報記者,“我們考慮到你主要是發廣告用,所以很多功能不用實現。”

  值得注意的是,有3個商戶明確表示“涉及貸款方面的不做”,這或許與當前電信詐騙的嚴打態勢有關。

  《2019年假冒借貸APP電信詐騙分析報告》顯示,2019年9月以來,假冒借貸APP騙局呈直線高發趨勢,10月增長率甚至達到223%,為此騙局的高峰期。在單個詐騙案例中,23.6%的受害者被連續詐騙,被詐騙金額從幾千元到幾萬元不等。其中,被詐騙金額5000元以內的受害者佔比為63.8%,超過10000元的受害者佔比達17.5%,受害人群中,80、90后人群佔比超過78%。

  業內人士:建議聯合社會各方資源共同建立反詐騙協作機制

  一家互聯網金融公司負責人表示,自2019年9月以來,假冒APP問題大量出現,並在2019年10月爆發式增長。“在此類案件中,犯罪嫌疑人利用受害者對我公司品牌的信任對其實施詐騙﹔事后受害者也往往會找到我們申訴維權。我們本身雖未參與任何環節,但自身的品牌和口碑受到了嚴重的損害。針對此類現象,我們做了加強消費者教育、優化產品流程、聯系公安介入等工作。”

  該負責人表示,盡管做了很多努力,但仍有新的受害者不斷出現,這主要與案發地分散、無法實時監控、行業聯動不足有關。“依照相關規定,受害者應在其所在地報警,但受害人地域分布較分散,往往同平台所在地不一致,平台協助報案的工作受到限制,且此類犯罪團伙通常具有較強的隱蔽性,平台及公安機關難以做到對涉嫌違法犯罪行為的實時監控,缺乏有效的辦案線索亦是偵破此類案件的痛點。最后,行業聯動不足。單一平台在消費者教育方面能做的工作和影響范圍始終有限,目前僅可以覆蓋自身用戶,急需行業平台間的支持和協作。”

  “僅靠單一平台或金融監管部門的努力難以杜絕此類事件的發生,我們認為假冒APP詐騙事件已經不僅僅是行業問題,更已成為了一個社會問題,需要在公安等部門的領導下共同防范和打擊。”該負責人表示。

  信用卡賬單分期APP省唄相關負責人表示,在法律法規方面,倡議監管部門盡快推動建立及完善詐騙罪相關法律法規,對不法分子起到警示作用,同時加強對消費者法律法規知識普及,使消費者在遭遇金融詐騙時,更易在第一時間運用法律手段維護自身的合法權益﹔提議金融行業平台應在司法部門、金融監管、行業協會等的指導下,積極履行社會責任,聯合社會各方資源共同建立反詐騙協作機制,重點打擊行業高發詐騙事件,保護消費者的合法權益。

  “在防詐騙公益方面,從業機構可建立專門防詐騙公益基金,對被詐騙嚴重且需要幫助的消費者在一定程度上給予幫助﹔在消費者教育上,針對被詐騙消費屬性採用合理有效形式對其進行防詐騙教育,我們將建立一整套的用戶防詐騙體系,從多方面、多渠道做好用戶的防詐騙工作。同時也呼吁社會各界,共同開展常態化、多樣化的防詐騙宣傳警示,筑起反詐騙的知識圍牆,筑牢反詐騙防線,建立直接、有效的反詐騙處理機制,減少金融詐騙事件的發生。”省唄負責人表示。

  “正規網絡貸款平台客服也不會通過非官方渠道和用戶聯系,也不會索要個人信息和驗証碼。此外,用戶在下載APP時一定選擇正規官方平台,務必在APP STORE和手機應用市場下載,不要輕易點擊來歷不明的應用供應商、鏈接以及二維碼下載安裝軟件。”360金融反詐實驗室在報告中表示。

  新京報記者 羅亦丹 陳鵬

(責編:趙超、畢磊)