上星期，有消息指出(Fake Asphalt 8 App Hit Play Store, Beware)，知名的賽車遊戲APP：「Asphalt 8:Airborne」，在Google Play上出現了假的版本！

假的版本其APP圖示和正版的「Asphalt 8:Airborne」幾乎一模一樣，就連APP開發商名稱也很像！

正版的開發商名稱：Gameloft

 

山寨版的開發商名稱：Gamelofts Limited

(圖片引用至：http://www.techgravy.net/fake-asphalt-8-app-hit-play-store-beware/)

 

根據我們義集思實驗室的追蹤，這家山寨開發公司Gamelofts Limited在Google Play上傳的的APP有：
com.gamelofts2013.asfalt7.apk
com.gamelofts2013.asfalt8.apk
com.gamelofts2013.dmtwo.apk
com.gamelofts2013.gt.apk

其APP內容幾乎都一模一樣，都會去下載三個APP回來：mobogenie_122140032.apk、DuMarket.apk、appmarket_2.0.2.apk，而且裡面包含一些其他APP的廣告，並直接連到Google Play上下載 。

這些APP都使用了Startapp這個SDK，APP開發商可以透過Startapp來獲得收入，用戶每下載1000次，開發商約可以獲得12元美金，這使得免費的APP也可以透過這樣的機制而獲利。

這個假的APP透過「Avazu Network」這家廣告公司來push廣告，APP背後redirect的URL中，有一個URL redirect的結果出現了訊息：「Your campaign has reached the maximum daily or total budget.」，這證明了這個假的APP已經被許多人所下載安裝，廣告的量已經達到了上限！

 

由這個例子，我們可以知道即使是免費APP，開發商還是可以透過其他方式來獲利。

我們將現在APP獲利方式分為正當、灰色地帶和非法3種來做說明：

(一)正當

1.透過付費下載直接獲利

雖然現在已經有很多免費且實用的APP，但還是有功能更完善或介面更精細漂亮的APP，使用者必須付費才能下載，而開發商便可以直接透過這種方式獲利。

2.In-App Purchase

免費經濟學已成為現在生活的主流，在APP store上免費APP佔了大部分，使用者所下載的APP也多為免費的。

免費下載的APP提供基本的功能，如果要增加功能的多樣性，除了直接購買付費APP外，在免費APP裡購買更多樣化功能即是所謂的「In-App Purchase」。

ex.遊戲APP本身不用錢，但透過In-App Purchase就可以購買更多的角色及道具，來增加遊戲的趣味及多樣性！

3.透過廣告獲利

廣告應該是現在免費APP最主要的獲利來源之一了，有人使用就有曝光的機會，行動廣告供應商便可以提供廣告的服務，開發商即能獲取利益。

4.虛擬與實體整合之獲利

當APP有了為數眾多的使用者，商機也會自己找上門，配合APP的知名度，推出相關的實體物品來獲利。

ex.知名的通訊APP「Line」，其生動有趣的人物貼圖是一大特色，而也因為其受歡迎，推出的實體人物周邊商品更是熱銷，實為從虛擬延伸到實體的獲利之最佳例子！

(二)灰色地帶

游走在灰色地帶的APP，雖然並不直接偷取資料或具有一些惡意行為，但卻不是透過正當的方式來獲取利益，最常見的就是Fake APP，Fake APP通常假冒成知名的APP或用吸引人的噱頭，來誘使使用者下載安裝，但APP內容卻是一堆廣告！

義集思實驗室之前發現的例子：安全通報2013-09-16：Google Play上出現假的Adobe Flash Player，是內含一堆廣告的惡意程式，請勿下載安裝！

(三)非法

當你安裝的APP有不該需要的權限時，那很有可能是有問題的APP。

最常見的惡意手法是惡意APP會在背地裡發送付費簡訊，或是利用你綁定在行動裝置上的信用卡，進行盜刷的動作，這都會造成你的帳單爆增。

另外，就是利用不該有的權限竊取你的資料，在行動裝置普及率這麼高且資料皆在上面時，當你裝置上的金融、個人及網路交易等資料皆被竊取走了，影響之大可想而知。

然而，惡意手法也不斷的推層出新，結合social engineering的手法讓使用者更容易落入駭客的圈套裡。

ex.前陣子最火紅的簡訊詐騙小額付費(安全通報2013-09-05：手機病毒大揭密，那些您不知道的事：小心病毒使帳單爆增！)，先發送吸引你去點擊的簡訊內容，當你點選簡訊內的內容，並下載安裝了APP，駭客便可竊取並攔截你的簡訊，來獲取小額付費的利益！

 

AegisLab在此建議使用者，不要隨便安裝來路不明的APP，安裝前也特別注意是否有要求不需要的權限，養成好的使用習慣及基本的資安意識，並選擇適當的手機防毒軟體來確保自身的權益！