APP背后的黑金產業鏈

在開發APP的過程中，對于一些普遍功能模塊，開發者往往會直接使用相應的第三方插件，如果這時候混入了一些惡意插件，又沒有相應的安全監測，開發者與運營者無形中就成了惡意插件的‘替罪羊’

。

如果用戶因使用某款APP被竊取了流量或者泄露了個人隱私，應該向誰問責？一般情況下，相信大多數用戶第一個想到的都會是這款軟件的開發者。

不過，業內人士看來，有時候APP的開發者也是有苦難言，甚至連他們自己都不知道問題究竟出在哪里。

第三方插件

“太坑人了！在手機上裝了款《植物大戰僵尸》的游戲，玩的時候沒注意，結果今天上網查話費才知道這幾天被扣了180元的短信費。”早在半個月前，武昌區的張女士向記者抱怨，自從在手機上

安裝了這款游戲后，在毫無察覺的情況下便被屢次惡意扣費，經過查詢才知道是手機訂制了多條增值業務短信。

張女士所遭遇的正是所謂的“隱形吸費”。即某些SP公司利用扣費代碼在幕后作祟，而他們往往給知名游戲添加吸費插件后，將其包裝成山寨版推向應用市場牟利。這背后的過程，卻出乎意料的簡

單。

“你花2.5萬從我這買個計費平臺就可以了，我們會在服務端免費給你做一個扣費插件，你拿回去添加到游戲或者應用后，再把它放在第三方應用市場上去做推廣，只要有用戶下載使用，這個插件就會

暗中扣費。”不久前，記者以開發者的身份聯系到武漢某家SP運營公司的負責人張軍（化名），他表示這個過程非常簡單，沒什么技術難度。“SP扣費服務代碼和通道都已經在插件中留好了，開發者拿

回去添加到APP里面就行了。維護成本也非常低，有一個兼職的Java和Andriod工程師就可以處理了。”

這些添加了吸費插件的APP，很難被用戶察覺。在張軍給出的一份資料中，記者看到，含有“g+精彩無限”等SP扣費渠道的APP，下載量和扣費率非常之高。其中含有某項SP吸費通道的APP總下載量為

5769，而扣費成功為5047，成功率高達87%。

而且此類插件的查殺不易，使得內藏扣費插件的APP在安卓平臺上肆意泛濫。“如果被殺毒軟件查出來，給這個插件換個簽名就能躲開。”據他介紹，添加了吸費插件的APP在后臺運行，用戶很難發現，

而且很輕松就可以避開手機安全軟件的查殺。

他稱，SP運營公司自己有一個SP服務的代碼池，在制作插件的時候會從代碼池里拿出多個代碼添加到其中。比如要將吸費控制在20元左右/次，我們就會在里面添加3元、6元、8元這樣的多個小額通道，

這樣單次吸費會比較低，不容易被用戶發現和投訴，風險小了很多。

他補充道，雖然運營商針對投訴率過高的SP通道會采取封禁措施，但SP們卻有辦法應對。 畢竟運營商不是天天在嚴管，另外做這種暗扣的非正向推廣，只要不是扣得很過分，一般控制在10～12元/月左

右，是沒多少用戶來投訴的。即使因為投訴被封禁了，我們這邊換個通道就可以。

他透露，除了添加多通道的技術手段外，他們還可以在運營商方面解決投訴率過高的問題，可以避免通道被封禁，但當記者問到具體細節時，他表示是內部關系不便透露。

產業鏈成形

據一位從事SP行業多年的業內人士向記者透露，傳統的SP公司轉行做暗扣APP，已經是司空見慣的事情。“現在傳統的SP行業確實不景氣，圈子里有很多規模很大的SP公司轉行在做吸費APP，而且現在已

經形成了一條完整的產業鏈條。”

北京江海沐暉科技有限公司變是一家專門開發APP軟件的公司。此前，該公司創始人王磊就對媒體坦言，有時候APP的開發者也是有苦難言，甚至連他們自己都不知道問題究竟出在哪里。

“在開發APP的過程中，對于一些普遍功能模塊，開發者往往會直接使用相應的第三方插件，如果這時候混入了一些惡意插件，又沒有相應的安全監測，開發者與運營者無形中就成了惡意插件的‘替罪

羊’。”王磊表示。

他補充道，除了上述APP“拼裝”帶來的安全風險外，當前APP市場中還存在著大量的“二次打包”現象，即一些個人或公司會對比較熱門的APP進行“改裝”，加入一些廣告推送甚至竊取用戶隱私

的惡意程序，以此來為自身牟利。

俗話說，哪里有市場哪里就有江湖。據武漢某家從事CP業務公司的負責人孫剛（化名）介紹，用戶從下載安裝APP到被扣費，背后有著一條從SP公司——開發者——第三方應用市場的極為龐大的利益鏈

條。

目前有很多安卓應用的開發者和SP公司，紛紛盯上了技術難度低、堪稱暴利的暗扣費APP。“有些SP公司會盜版和仿冒一些下載量比較高的游戲和應用，如將《捕魚達人》等游戲中內置扣費插件二

次打包后，在第三方市場推廣。而圈子里也有些公司因為代碼太多，做不過來，便會找一些APP開發商或者工作室，將代碼提供給他們后從中賺取差價。”

“我們負責提供SP的扣費代碼和渠道，開發者負責添加插件和推廣。當用戶通過SP渠道產生信息費后，添加插件的開發者便能拿到信息費的20%。比如這次產生的信息費是2元，那開發者便能拿到4角，

這是閱讀和視頻SP通道的分成，游戲的相對高一些，能到28%左右。其實我們也就賺取中間差價，拿個信息費的20%左右吧，真正利潤的大頭不在我們這。”孫剛表示，他們會和一些APP的原創開發者合

作，聯手分成利潤。不僅如此，他所在的SP業務公司自己也在做吸費APP。

“我們自己會選擇一些下載量比較大的知名游戲，在其中添加吸費插件后以漢化版、破解版等名義推向第三方市場。而推廣費用目前的行情是1.5元/次，像在應用市場中提交吸費APP后，每當用戶下載

一次，我們就要付給第三方市場1.5元。”此外，據孫剛稱，他所在的SP公司已經將應用市場、廠商等下游市場的渠道全部鋪到。

加固技術隱憂

第三方插件的無孔不入顯然給APP開發者敲響了警鐘。

此前，有業內專家呼吁，對于APP“拼裝”問題，開發者有義務自行開發或選擇組合不含惡意代碼的插件；運營者則需要建立完善的管理體系，包括開發方的資質審核、誠信記錄，進行安全檢測并受理

投訴、下架追償等。

今年4月，通付盾CEO汪德嘉就對媒體表示，目前市場上提供的大部分安全加固方案，都是這種對待加固的應用進行加殼、加密操作，但這種方式只是移動安全的第一步，事實上也是最脆弱的一步，這種

安全加固方式只能對抗靜態分析和簡單的逆向工程。

“這也要求我們不斷提升安全加固的技術水平，同時配合動態簽名的方式，實時檢查程序的完整性，以杜絕惡意程序的動態注入。”汪德嘉認為。

而就在安全加固技術進一步得到重視的同時，惡意程序加固的問題也開始展露端倪。據相關媒體報道， 國家互聯網應急中心何能強博士在此前的《2014中國網絡安全論壇》上公開表示，2014年監測到

的互聯網上加固的安全應用程序超過7萬個，惡意程序有7000多個。

據何能強介紹，2012年上半年，國家互聯網應急中心曾接到過的一個關于仿冒微信客戶端的舉報事件，該惡意程序就是經過加固的。

“從該案例中不難看出，應用程序的加固本意是好的，是防止應用程序被篡改和攻擊，但是這種正當的技術已經被黑客濫用了，他們把這些加固技術用到惡意程序里面，來對抗安全檢測。”何能強認為。

何能強表示：“以后主管部門應該對提供加固的公司進行嚴格管理，禁止這些公司向惡意程序公司提供加固服務。APP的正規開發者與惡意開發者之間永遠都會存在交鋒，想要解決這一問題，最好的出

路仍是要不斷尋求技術上的超越與提升。”