«Обмануть пользователя проще, чем кажется»: как действуют мошенники в App Store

Разработчик проекта Wi-Fi Widget Джонни Лин о выявлении злоумышленников в магазине Apple и способах им противостоять.

На всемирной конференции для разработчиков компания Apple сообщила, что выплатила $70 млрд разработчикам, 30% из которых ($21 млрд) — за последний год. Это огромный скачок, и у меня это вызвало некоторое удивление, потому что, кажется, ни я, ни мои друзья в том году не тратили на приложения больше. Мне стало интересно, откуда берется такой доход, и я открыл App Store, чтобы изучить приложения-бестселлеры.

Я пролистал список приложений из категории «Продуктивность» и увидел приложения таких всем хорошо известных компаний, как Dropbox, Evernote и Microsoft. Это было ожидаемо. Но что дальше? Десятое место среди приложений-бестселлеров в категории «Продуктивность» (по состоянию на 7 июня 2017 года) занимало приложение, которое называется «Mobile protection :Clean & Security VPN».

С учётом ужасного названия этого приложения — неправильное употребление заглавных букв, неверно проставленное двоеточие и грамматически абсурдная структура «Clean & Security VPN» — я подумал, что в алгоритмах ранжирования случился сбой. Поэтому я пошел на Sensor Tower, чтобы оценить доход приложения, и увидел сумму в $80 тысяч в месяц. Это не могло быть правдой. Теперь мне стало очень интересно.

Я раскрыл детали приложения и увидел, что разработчик — компания Ngan Vo Thi Thuy. То есть это сервис VPN, который представляется независимым разработчиком, который даже не потрудился зарегистрироваться как акционерная компания. Это первый звоночек.

Для тех, кто не понимает, почему это плохо, — в основном VPN направляет весь ваш интернет-трафик через сервера третьей стороны. Так что выходит, что какой-то человек, который даже не смог грамматически выверить название своего приложения и не позаботился о том, чтобы зарегистрировать компанию как акционерное общество, хочет получить доступ ко всему вашему интернет-трафику.

Другим звоночком стало одновременно смешное и ужасное описание приложения:

Согласно описанию приложение «Mobile protection :Clean & Security VPN» «наполнено различными функциями»  — ну, чем-то оно точно наполнено. Очевидно, что «Mobile protection» в том числе защищает вас и от «дупплицированных» контактов. И эти «сканирования» — это то, что называется «Быстрым & полным сканированием Интернет безопасности». Пять интернетов тому, кто сможет понять связь между безопасностью в интернете и двойными контактами в телефоне.

Столько разных звоночков  —  а ведь я ещё не загрузил приложение. Я проверил отзывы и нашел несколько неопределенных и кажущихся поддельными пятизвездных обзоров:

А когда я увидел даты этих отзывов, у меня возник ещё один вопрос. Как давно это приложение находится в топе? Ну, если верить Sensor Tower, «Mobile protection :Clean & Security VPN» входит в топ-20 приложений-бестселлеров в категории «Продуктивность» с 20 апреля — то есть уже два месяца к настоящему времени.

Просто из любопытства и ради того, чтобы побольше узнать об этом, вероятно, очень хорошо продающемся приложении, я его загрузил. Вот что случилось, когда я открыл его впервые:

Единственный доступный вариант здесь — нажать «согласен», а затем iOS спрашивает меня, хочу ли я дать этому приложению «cccess» к моим контактам. Хм, пожалуй, нет.

Если пропустить этот шаг, приложение сообщает мне, что на моем устройстве найдены угрозы. Ну, конечно, найдены, как же ещё. Также приложение готово провести анализ устройства, быстрое и полное сканирование, а также защитить мой интернет.

Если нажать на «Анализ устройства», то приложение покажет объем свободной памяти  — довольно  бесполезная функция. Если нажать и на быстрое, и на полное сканирование, то приложение показывает: «Ваш контакт очищен. Лишних не обнаружено». Отлично —  нет ничего лишнего. Полагаю, кроме буквы «п» в слове «дупплицированный».

Ну ладно, позвольте, я, наконец, защищу свой интернет и нажму на соответствующую кнопку. Хм, а это что?

Всплывает это невероятно щедрое предложение стрелять по пузырькам, не устанавливая игру. Не знаю точно, чем я заслужил такой совершенно бесплатный подарок, но ему придется подождать. Я жму на крестик, чтобы вернуться к защите своего интернета.

И вот что я вижу дальше:

И, конечно, я сразу перескакиваю к возможности «мгновенно использовать полный "умный" антивирус, нажав на кнопку "бесплатная пробная версия"». В конце концов, она бесплатная.

Touch ID? Ладно. Хотя, погодите, давайте-ка прочитаем мелкий шрифт. «Full Virus, Malware scanner» — что-что? Я уверен, что ни одно приложение не может просканировать мой iPhone на вирусы или вредоносные программы, так как приложения третьих сторон помещаются в песочницу и ограничиваются только собственными данными. Но давайте почитаем дальше. «Вы заплатите $99,99 за семидневную подписку».

В третьей строчке параграфа мелким шрифтом iOS как бы между делом говорит мне, что если я нажму на кнопку «Домой», то значит, я соглашаюсь на подписку за $100. И это еще не всё — подписка стоит $100 в неделю. То есть я был всего лишь в одном касании от подписки стоимостью $400 в месяц для того, чтобы получить возможность перенаправить весь мой интернет-трафик через мошенников.

Получается, что мне повезло, так как я прочитал текст мелким шрифтом до конца. А что со всеми остальными пользователями?

И вдруг стало понятно, как это приложение может генерировать $80 тысяч в месяц. Если учесть, что подписка стоит $400 в месяц для одного подписчика, то нужно обмануть всего лишь 200 человек, чтобы заработать $80 тысяч в месяц или $960 тысяч в год. И из этой суммы Apple берет 30% — $288 тысяч —  только с одного приложения.

Возможно, вы ещё не верите. Может быть, вы думаете: «Понятно, что всего 200 людей, но всё же очень маловероятно, что хоть один пользователь загрузил такое подозрительное приложение, и ещё менее вероятно, что люди заплатят за него».

Вы, может быть, и не стали бы его загружать. Я бы точно не стал. Но я также никогда и не кликал по Google Ad, однако Google как-то смогла довести выручку Adwords до $70 млрд. Приложение «Mobile protection :Clean & Security VPN» в настоящее время находится на 144 месте в рейтинге наиболее часто загружаемых приложений в App Store, а среднее количество загрузок в апреле — 50 тысяч.

Чтобы получить 200 подписчиков из 50 тысяч загрузок, мошенникам просто нужно конвертировать 0,4% загрузок в покупки —  а, возможно, и меньше, потому что эти подписки обновляются автоматически, так что количество подписчиков из месяца в месяц только растет.

Неужели вы даже не можете представить, что один из ваших не разбирающихся в технологиях родственников совершенно случайно (а может даже намеренно) не подпишется на «пробный период», чтобы защитить свой iPad от вирусов? Но как тогда вообще появился этот показатель — 50 тысяч загрузок?

Я как-то читал статью о том, что большое количество приложений пользователи находят с помощью поиска в магазине приложений. Так что, может быть, у этого приложения хорошо оптимизирован поиск. Поэтому затем я ввёл в строку поиска «антивирусное приложение».

И первый результат — это реклама приложения «Protection for iPhone  — Mobile Security VPN». Звучит как что-то знакомое. Это не то же самое приложение, но здесь возможны покупки внутри («Бесплатную пробную версию повысить до Премиальной защиты» за $99,99), и оно находится на 33 месте в рейтинге бестселлеров в категории «Бизнес».

Оказывается, что мошенники злоупотребляют относительно новым и ещё незрелым продуктом Apple — рекламой в поиске в App Store. Они используют в своих интересах тот факт, что для рекламы не предусмотрены фильтры или какие-либо процессы одобрения и такая реклама выглядит практически так же, как реклама реального продукта, а некоторые рекламные блоки занимают всю первую страницу результатов поиска.

Позднее я копнул глубже и выяснил, что, к сожалению, это далеко не единичный случай  —  это часто встречающееся явление в списках бестселлеров в App Store. И такое происходит не только с ключевыми словами, имеющими отношение к безопасности. Кажется, что мошенники задействовали и многие другие ключевые слова. Вот, например, результаты поиска по слову «wifi»:

Самый первый результат — это реклама приложения «WEP Password Generator», простого генератора случайных строк, который требует $50 в месяц. Приложение уже зарабатывает $10 тысяч в месяц несмотря на то, что вышло только в апреле. Скорее всего, это клон вот этого приложения, а это в свою очередь означает, что эта схема стала настолько распространенной, что мошенники копируют друг друга.

Если читатель этой статьи — разработчик с уровнем нравственности ниже среднего, то он только что узнал про относительно легкий способ получить десятки тысяч долларов в App Store. По крайней мере, пока магазин чего-нибудь не поменяет. Для остальных случаев у меня есть несколько предложений:

Немного сложно поверить в то, что Apple не знает об этой проблеме, потому что эти приложения совсем не мелкие  —  они расположены по всему топ-листу приложений в App Store. Возможно, компания не считает эту проблему достаточно серьёзной, чтобы бороться с ней, а, может быть, проблема выгодна для их Search Ads и платформы App Store. Так или иначе, вот некоторые предложения:

Если вы разрабатываете что-то, что приносит пользу, как-то улучшает жизнь людей, то пользователи будут только рады заплатить за это, и тогда все останутся в выигрыше. Однако для создания хороших приложений требуется дизайн, разработка, навыки продаж, а также тяжёлая и самоотверженная работа.

Я даже не говорю об очевидной моральной неправоте использования уязвимой категории пользователей для получения дохода. Просто очень тревожно осознавать, что некоторые разработчики становятся финансово успешными, потому что идут по легкому и неэтичному пути , создавая фальшивые приложения, цель которых в том, чтобы красть деньги у неинформированных слоёв населения.