Created: 2018-07-06 09:40:37
ESET資安專家發現Google Play又多了另一種新的詐騙手法,使其假冒的應用程式更易被使用者所信賴 – 至少,乍看上去。
而新手法的巧思為,一般Android用戶在Google Play瀏覽行動程式時,除了看到程式圖示與名稱之外,另一個就是開發者名稱,於是有些開發人員直接把開發者名稱設為大量的下載次數,以吸引或誘導使用者下載。
我們發現,高達數百款應用程式正在利用這一手法,或類似伎倆欺騙用戶。此類應用程式經分析後發現,這些程式有的功能很少,有的甚至毫無功能,但多數都有大量的廣告。
圖1 – 上傳至Google Play的應用程式,開發者名稱為“已下載10億(1,000,000,000) – 50億(5,000,000,000)人次”
圖2 -上傳至Google Play的應用程式,開發者名稱為“已安裝1億人次”(100 Million Downloads)
由於開發者名稱可隨意設定為任何數量,故就有某一家遊戲開發者試圖想讓用戶相信,其所開發的遊戲下載量竟然高達50億人次。(但事實上,在Google Play上要跨過10億下載門檻並不容易,統計顯示只有不到30款程式擁有超過10億的下載數量,它們多是使用者耳熟能詳的程式,像是Google Play、Gmail、Maps、YouTube、Facebook、WhatApp、Messenger、Instagram或Skype等,而諸如Dropbox或Line等熱門程式的下載量則還不到10億。)
圖3 -上傳至Google Play的應用程式,開發者名稱為“已安裝超過50億(5,000,000,000+)人次”
我們還發現有一名開發人員偶爾會切換自己的名稱,一下使用真正的名稱,一下使用下載數量的名稱,看似只是採用暫時的行銷手法來拉抬程式下載量。
圖4 –開發者名稱原為“已安裝10億(1,000,000,000)人次”,後更換為“DIVID APPS”
另有些開發人員會在名稱上使用「TM」(商標)或「✓」(打勾)符號來顯示自己的合法性,然而Google Play並沒有任何驗證開發者帳號的功能,純粹是開發人員仿照社交平台的作法而創造出來的,ESET資安專家認為,這反而讓這些程式看起來更可疑。
圖5 – 開發者使用假冒認證標識,證明自身合法性
雖然這樣的手法很簡單,但特別是對於那些經常選擇熱門程式來下載的Android用戶來說,我們認為它應該還是有效的。故ESET資安專家提供以下建議:
- Android用戶應仔細瀏覽Google Play上所顯示的官方下載數字,具體位置是在頁面底部的“附加資訊”一欄中顯示。
- Google並未提供程式或開發者的認證標章,它只使用“編輯選擇”類別,由應用程式頁面右上角的編輯選擇徽章標記。
- 請在下載任何應用程式之前,最好先檢視其它用戶的評論。
- 對於實際下載量很小,和/或幾天前才發佈的新款應用程式,無論您多麼需要這款軟體,建議都先觀察其他用戶的反應,以及避免成為不知名新程式的白老鼠。
最最重要的一點則是【安裝ESET行動安全套裝或ESET網路安全套裝多平台版】,讓您的行動裝置獲得更多的保障。