img

世界

作者:Lukas Stefanko看来Google Play上的骗子已经找到了另一种让欺骗性应用对用户更可靠的方式 - 也就是说,至少乍一看

这个技巧利用了这样一个事实:除了应用程序图标和名称之外,用户在浏览应用程序时还会看到另外一个元素 - 开发人员名称,显示在应用程序名称的正下方

而且,由于未知的开发人员名称无论如何都不能用于提升受欢迎程度,一些应用程序作者一直在设置虚构的,大量的安装作为他们的开发人员名称,以便看起来像拥有庞大用户群的老牌开发人员

我们已经发现了数百个使用此类和类似技巧的应用来欺骗用户

我们分析的应用程序要么误导用户有关其功能,要么根本没有功能,但大多数都显示许多广告

将任意数量的选择作为开发者名称的自由激发了一些非常雄心勃勃的主张 - 例如,一位游戏开发者希望用户相信他的游戏安装量超过50亿次

(注意:在撰写本文时,排名最高的应用程序属于“1,000,000,000+”类别;此类别包括Google Play本身,Gmail,Facebook,WhatsApp,Skype等

)在一个特定情况下,我们看到开发人员随着时间的推移将他的名字从虚假的安装号码更改为实际的开发者名称,这可能表明该技巧被用作旨在提高新上传的应用程序的受欢迎程度的临时措施

除了使用虚假安装号码试图操纵用户下载他们的应用程序外,一些应用程序作者还使用了表示合法性的短语,例如“Legit Apps”,“Verified Applications”和“Trusted Developers App”

有些还带有复选标记符号,类似于用于各种社交媒体网站上知名人士和品牌帐户的“已验证”徽章

这些不同地包含在应用程序图标和名称以及开发人员名称中

由于Google Play可能不提供开发者帐户验证服务,因此任何带有此类标记的应用都必须被视为可疑

如何保持安全本文中描述的技巧是简单但可能有效的误导用户的方法,特别是那些根据受欢迎程度选择应用程序的用户

虽然这些应用程序都不是完全恶意的,但未来恶意软件作者很容易滥用这些技术

幸运的是,如果你知道要关注什么,这些技巧也很容易发现:•确保只从应用程序的Google Play页面中获取每个应用程序的安装数量,因为这是官方编号

这将在页面底部的“附加信息”部分中显示

•请注意,Google Play没有“已验证”徽章,表示应用的合法性

它有“编辑选择”类别,由应用程序Google Play页面右上角的编辑选择徽章标记

•确保在下载任何应用程序之前阅读用户评论

•如果某个应用程序只有少量实际安装,和/或仅在过去几天内发布,那么无论您认为多少,您都可以让其他人成为试验品

- 作者是ESET的恶意软件研究员

News