近日，Avast的一份報(bào)告顯示，到目前為止，蘋果和谷歌應(yīng)用商店(App Store和Google Play)中大約204種不同的吸費(fèi)軟件(fleeceware)累計(jì)收入已經(jīng)超過4億美元。

吸費(fèi)應(yīng)用通常向用戶提供免費(fèi)試用版，讓用戶在自動支付高額訂閱費(fèi)用之前對應(yīng)用程序進(jìn)行“測試”。根據(jù)周三發(fā)布的Avast的報(bào)告，其中一些APP的訂閱費(fèi)用每年甚至超過3,400美元。通常，即使用戶刪除了有問題的吸費(fèi)應(yīng)用，仍然會繼續(xù)支付訂閱費(fèi)用。

[[390469]]

Avast研究員JakubVávra在帖子中說：“這些(吸費(fèi))應(yīng)用程序通常沒有獨(dú)特的功能，僅僅是欺詐的渠道。”“雖然這些應(yīng)用程序的功能通常可以達(dá)到預(yù)期的目的，但用戶不太可能會為這些應(yīng)用程序支付如此高的訂閱費(fèi)用，尤其是在市場上有更便宜甚至免費(fèi)的替代產(chǎn)品時(shí)。”

該公司發(fā)現(xiàn)，大多數(shù)有問題的應(yīng)用程序(已標(biāo)記并提供給Apple和Google進(jìn)行審查)是樂器應(yīng)用程序、掌上閱讀器、圖像編輯器、相機(jī)濾鏡、算命、二維碼和PDF閱讀器，以及稱為“史萊姆模擬器”的虛擬黏性游戲。顯然，這些吸費(fèi)應(yīng)用程序中有許多是面向兒童的。不幸的是，根據(jù)這項(xiàng)研究，父母通常在數(shù)周或數(shù)月后才知道收費(fèi)的來源。

Vávra說：“吸費(fèi)軟件的推廣策略是通過流行的社交網(wǎng)絡(luò)上有趣的主題和吸引眼球的廣告來瞄準(zhǔn)年輕受眾，并承諾‘免費(fèi)安裝’或‘免費(fèi)下載’，”Vávra說。“當(dāng)父母注意到每周付款的時(shí)候，這種吸費(fèi)軟件可能已經(jīng)取得了可觀的收入。”

3天免費(fèi)試用

研究發(fā)現(xiàn)，大多數(shù)吸費(fèi)應(yīng)用都提供三天免費(fèi)試用期。之后，吸費(fèi)模式會有所不同。大多數(shù)應(yīng)用程序的收費(fèi)在每周4到12美元之間，相當(dāng)于每年208到624美元。但有些吸費(fèi)軟件每周的訂閱費(fèi)用高達(dá)66美元，每年總計(jì)3,432美元。

報(bào)告還發(fā)現(xiàn)，一些以前免費(fèi)的應(yīng)用程序，或者只需要一次性付費(fèi)即可解鎖功能的應(yīng)用程序，在未通知用戶的情況下，悄悄轉(zhuǎn)為為收費(fèi)昂貴的每周訂閱(吸費(fèi))模式。

報(bào)告指出，大多數(shù)吸費(fèi)軟件都是通過正常的廣告渠道進(jìn)行投放和營銷，例如Facebook、Instagram、Snapchat和TikTok。

報(bào)告認(rèn)為：“由于這些應(yīng)用程序不被認(rèn)為是惡意軟件，并且可以從蘋果和谷歌的官方應(yīng)用程序商店中下載使用，因此它們也可以使用官方廣告渠道進(jìn)行營銷推廣。”“由于吸費(fèi)軟件項(xiàng)目的利潤異常豐厚，參與者可能會投入大量(廣告)資金，以通過流行的平臺進(jìn)一步傳播這些應(yīng)用程序。”

一旦用戶點(diǎn)擊廣告(該視頻通常帶有與該視頻的實(shí)際功能不符的應(yīng)用視頻)，該用戶就會被重定向到該應(yīng)用的應(yīng)用商店下載頁面，通常有四星級或五星級的“好評”。

研究人員說：“吸費(fèi)應(yīng)用程序的配置文件看起來很正式，乍一看并沒有出現(xiàn)危險(xiǎn)信號。”“但是，經(jīng)過更深入的調(diào)查，很明顯，大部分評論是假的(它們包含重復(fù)的文字或措辭不佳)，顯然是人為炮制的虛假好評。”

卸載無濟(jì)于事

最糟糕的可能是吸費(fèi)軟件“感染”的持久狀態(tài)。報(bào)告指出，谷歌和蘋果均聲明，它們在一定時(shí)間段后不對訂閱退款負(fù)責(zé)，受害者只能找應(yīng)用程序開發(fā)人員追索。

報(bào)告發(fā)現(xiàn)：“從評論中可以看出，開發(fā)者對用戶的退款請求置之不理，或者聲稱用戶了解訂閱費(fèi)，并拒絕退還受害者。”“還有一些吸費(fèi)軟件的開發(fā)人員資料指向已關(guān)閉的網(wǎng)站?？偠灾?，除了聯(lián)系銀行和要求退款外，受害者別無他法。”

好消息是Google應(yīng)用商店已經(jīng)增加一個通知提示，警告用戶已卸載應(yīng)用程序存在有效訂閱。并且蘋果應(yīng)用商店開始詢問用戶所卸載的應(yīng)用程序是否要保留訂閱。

永久的禍害

目前，吸費(fèi)應(yīng)用的禍害可能還會持續(xù)。1月，Sophos研究發(fā)現(xiàn)，僅在Google Play上，這類吸費(fèi)詐騙應(yīng)用就已經(jīng)在1億多臺設(shè)備上安裝了將近6億次。

“數(shù)據(jù)令人震驚：吸費(fèi)模式擁有近十億次下載和數(shù)億美元的收入，吸引了更多開發(fā)人員，并且有證據(jù)表明，已有多個流行應(yīng)用也經(jīng)不住誘惑轉(zhuǎn)型吸費(fèi)模式(免費(fèi)試用+高額訂閱費(fèi))。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文