«Обмануть пользователя проще, чем кажется»: как действуют мошенники в App Store

Разработчик проекта Wi-Fi Widget Джонни Лин о выявлении злоумышленников в магазине Apple и способах им противостоять.

На всемирной конференции для разработчиков компания Apple сообщила, что выплатила $70 млрд разработчикам, 30% из которых ($21 млрд) — за последний год. Это огромный скачок, и у меня это вызвало некоторое удивление, потому что, кажется, ни я, ни мои друзья в том году не тратили на приложения больше. Мне стало интересно, откуда берется такой доход, и я открыл App Store, чтобы изучить приложения-бестселлеры.

Шаг 1: Следуй за деньгами

Я пролистал список приложений из категории «Продуктивность» и увидел приложения таких всем хорошо известных компаний, как Dropbox, Evernote и Microsoft. Это было ожидаемо. Но что дальше? Десятое место среди приложений-бестселлеров в категории «Продуктивность» (по состоянию на 7 июня 2017 года) занимало приложение, которое называется «Mobile protection :Clean & Security VPN».

С учётом ужасного названия этого приложения — неправильное употребление заглавных букв, неверно проставленное двоеточие и грамматически абсурдная структура «Clean & Security VPN» — я подумал, что в алгоритмах ранжирования случился сбой. Поэтому я пошел на Sensor Tower, чтобы оценить доход приложения, и увидел сумму в $80 тысяч в месяц. Это не могло быть правдой. Теперь мне стало очень интересно.

Я раскрыл детали приложения и увидел, что разработчик — компания Ngan Vo Thi Thuy. То есть это сервис VPN, который представляется независимым разработчиком, который даже не потрудился зарегистрироваться как акционерная компания. Это первый звоночек.

Для тех, кто не понимает, почему это плохо, — в основном VPN направляет весь ваш интернет-трафик через сервера третьей стороны. Так что выходит, что какой-то человек, который даже не смог грамматически выверить название своего приложения и не позаботился о том, чтобы зарегистрировать компанию как акционерное общество, хочет получить доступ ко всему вашему интернет-трафику.

Другим звоночком стало одновременно смешное и ужасное описание приложения:

Оригинальный скриншот из описания приложения «Mobile protection :Clean & Security VPN»

Согласно описанию приложение «Mobile protection :Clean & Security VPN» «наполнено различными функциями»  — ну, чем-то оно точно наполнено. Очевидно, что «Mobile protection» в том числе защищает вас и от «дупплицированных» контактов. И эти «сканирования» — это то, что называется «Быстрым & полным сканированием Интернет безопасности». Пять интернетов тому, кто сможет понять связь между безопасностью в интернете и двойными контактами в телефоне.

Столько разных звоночков  —  а ведь я ещё не загрузил приложение. Я проверил отзывы и нашел несколько неопределенных и кажущихся поддельными пятизвездных обзоров:

А когда я увидел даты этих отзывов, у меня возник ещё один вопрос. Как давно это приложение находится в топе? Ну, если верить Sensor Tower, «Mobile protection :Clean & Security VPN» входит в топ-20 приложений-бестселлеров в категории «Продуктивность» с 20 апреля — то есть уже два месяца к настоящему времени.

Шаг 2: Двуличное поведение

Просто из любопытства и ради того, чтобы побольше узнать об этом, вероятно, очень хорошо продающемся приложении, я его загрузил. Вот что случилось, когда я открыл его впервые:

«Этому приложению требуется "cccess" (доступ) к вашим контактам, чтобы сначала просканировать ваши контакты»

Единственный доступный вариант здесь — нажать «согласен», а затем iOS спрашивает меня, хочу ли я дать этому приложению «cccess» к моим контактам. Хм, пожалуй, нет.

Если пропустить этот шаг, приложение сообщает мне, что на моем устройстве найдены угрозы. Ну, конечно, найдены, как же ещё. Также приложение готово провести анализ устройства, быстрое и полное сканирование, а также защитить мой интернет.

Если нажать на «Анализ устройства», то приложение покажет объем свободной памяти  — довольно  бесполезная функция. Если нажать и на быстрое, и на полное сканирование, то приложение показывает: «Ваш контакт очищен. Лишних не обнаружено». Отлично —  нет ничего лишнего. Полагаю, кроме буквы «п» в слове «дупплицированный».

Ну ладно, позвольте, я, наконец, защищу свой интернет и нажму на соответствующую кнопку. Хм, а это что?

Играть без установки? О нет, только не это.

Всплывает это невероятно щедрое предложение стрелять по пузырькам, не устанавливая игру. Не знаю точно, чем я заслужил такой совершенно бесплатный подарок, но ему придется подождать. Я жму на крестик, чтобы вернуться к защите своего интернета.

И вот что я вижу дальше:

И, конечно, я сразу перескакиваю к возможности «мгновенно использовать полный "умный" антивирус, нажав на кнопку "бесплатная пробная версия"». В конце концов, она бесплатная.

Touch ID? Ладно. Хотя, погодите, давайте-ка прочитаем мелкий шрифт. «Full Virus, Malware scanner» — что-что? Я уверен, что ни одно приложение не может просканировать мой iPhone на вирусы или вредоносные программы, так как приложения третьих сторон помещаются в песочницу и ограничиваются только собственными данными. Но давайте почитаем дальше. «Вы заплатите $99,99 за семидневную подписку».

В третьей строчке параграфа мелким шрифтом iOS как бы между делом говорит мне, что если я нажму на кнопку «Домой», то значит, я соглашаюсь на подписку за $100. И это еще не всё — подписка стоит $100 в неделю. То есть я был всего лишь в одном касании от подписки стоимостью $400 в месяц для того, чтобы получить возможность перенаправить весь мой интернет-трафик через мошенников.

Получается, что мне повезло, так как я прочитал текст мелким шрифтом до конца. А что со всеми остальными пользователями?

Шаг 3: Все начинается с фразы: «Установите это приложение, и будет вам счастье»

И вдруг стало понятно, как это приложение может генерировать $80 тысяч в месяц. Если учесть, что подписка стоит $400 в месяц для одного подписчика, то нужно обмануть всего лишь 200 человек, чтобы заработать $80 тысяч в месяц или $960 тысяч в год. И из этой суммы Apple берет 30% — $288 тысяч —  только с одного приложения.

Возможно, вы ещё не верите. Может быть, вы думаете: «Понятно, что всего 200 людей, но всё же очень маловероятно, что хоть один пользователь загрузил такое подозрительное приложение, и ещё менее вероятно, что люди заплатят за него».

Вы, может быть, и не стали бы его загружать. Я бы точно не стал. Но я также никогда и не кликал по Google Ad, однако Google как-то смогла довести выручку Adwords до $70 млрд. Приложение «Mobile protection :Clean & Security VPN» в настоящее время находится на 144 месте в рейтинге наиболее часто загружаемых приложений в App Store, а среднее количество загрузок в апреле — 50 тысяч.

Чтобы получить 200 подписчиков из 50 тысяч загрузок, мошенникам просто нужно конвертировать 0,4% загрузок в покупки —  а, возможно, и меньше, потому что эти подписки обновляются автоматически, так что количество подписчиков из месяца в месяц только растет.

Неужели вы даже не можете представить, что один из ваших не разбирающихся в технологиях родственников совершенно случайно (а может даже намеренно) не подпишется на «пробный период», чтобы защитить свой iPad от вирусов? Но как тогда вообще появился этот показатель — 50 тысяч загрузок?

Я как-то читал статью о том, что большое количество приложений пользователи находят с помощью поиска в магазине приложений. Так что, может быть, у этого приложения хорошо оптимизирован поиск. Поэтому затем я ввёл в строку поиска «антивирусное приложение».

И первый результат — это реклама приложения «Protection for iPhone  — Mobile Security VPN». Звучит как что-то знакомое. Это не то же самое приложение, но здесь возможны покупки внутри («Бесплатную пробную версию повысить до Премиальной защиты» за $99,99), и оно находится на 33 месте в рейтинге бестселлеров в категории «Бизнес».

Оказывается, что мошенники злоупотребляют относительно новым и ещё незрелым продуктом Apple — рекламой в поиске в App Store. Они используют в своих интересах тот факт, что для рекламы не предусмотрены фильтры или какие-либо процессы одобрения и такая реклама выглядит практически так же, как реклама реального продукта, а некоторые рекламные блоки занимают всю первую страницу результатов поиска.

Позднее я копнул глубже и выяснил, что, к сожалению, это далеко не единичный случай  —  это часто встречающееся явление в списках бестселлеров в App Store. И такое происходит не только с ключевыми словами, имеющими отношение к безопасности. Кажется, что мошенники задействовали и многие другие ключевые слова. Вот, например, результаты поиска по слову «wifi»:

Самый первый результат — это реклама приложения «WEP Password Generator», простого генератора случайных строк, который требует $50 в месяц. Приложение уже зарабатывает $10 тысяч в месяц несмотря на то, что вышло только в апреле. Скорее всего, это клон вот этого приложения, а это в свою очередь означает, что эта схема стала настолько распространенной, что мошенники копируют друг друга.

Улучшаем App Store: что можете сделать вы

Если читатель этой статьи — разработчик с уровнем нравственности ниже среднего, то он только что узнал про относительно легкий способ получить десятки тысяч долларов в App Store. По крайней мере, пока магазин чего-нибудь не поменяет. Для остальных случаев у меня есть несколько предложений:

  • Научите ваших менее технически продвинутых друзей и родственников тому, как можно проверить и отключить подписки. А если они уже пострадали, помогите им вернуть деньги.
  • Если вы видите мошеннические приложения, сообщайте о них через форму «Контакты» с помощью iTunes Connect. Выберите пункт «Обратная связь и проблемы», а затем — «Сообщить о подозрении в мошенничестве».
  • Распространяйте информацию до тех пор, пока Apple всё не исправит.

Улучшаем App Store: Что должна сделать Apple

Немного сложно поверить в то, что Apple не знает об этой проблеме, потому что эти приложения совсем не мелкие  —  они расположены по всему топ-листу приложений в App Store. Возможно, компания не считает эту проблему достаточно серьёзной, чтобы бороться с ней, а, может быть, проблема выгодна для их Search Ads и платформы App Store. Так или иначе, вот некоторые предложения:

  • Удалить мошенников и вернуть деньги пользователям — это самое очевидное. Достаточно просто нанять кого-то, кто будет превентивно и регулярно прокручивать список лучших приложений и удалять оттуда мошеннические приложения. Как можно понять из текста выше, их не так уж и сложно заметить. А если пользователь купил мошенническую подписку, то следует автоматически и полностью вернуть ему деньги за все прошлые покупки.
  • Улучшить UI в разделе подписки с помощью Touch ID. Не использовать мелкий шрифт, где цена запрятана в тексте. Цена должна быть более заметна, возможно, следует сделать так, чтобы перед самой покупкой следовала пятисекундная задержка. В качестве бонуса можно показывать в этом месте наиболее полезные или недавние оценки или обзоры.
  • Создать более строгие мероприятия по контролю подписок. Как вообще приложение со встроенной покупкой за $400 в месяц, которое называется «Full Virus, Malware Scanner», могло получить одобрение отделом контроля приложений? Есть кто-нибудь дома?
  • Немедленное удаление подписки при удалении приложения. Множество отзывов с одной звездочкой о мошеннических приложениях сообщают об одном и том же: с пользователей снимались деньги даже несмотря на то, что они удалили приложение. Большинству людей кажется, что это должно работать  —  так почему бы не сделать, чтобы так и было. Когда пользователь удаляет приложение, спросите у него, хочет ли он также отказаться от подписки. Конечно, попросите подтвердить действие, чтобы пользователи случайно не отменили свою подписку на Netflix.
  • Сделать отмену подписки проще. Подписки очень сложно отменить, кажется, что даже Apple, так сильно сосредоточенная на дизайне, специально сделала процесс таким сложным. В iOS 10 отмена подписки состоит из девяти шагов. Даже установить стороннюю клавиатуру проще (шесть шагов). Пожалуйста, упростите процесс.
  • Поисковая реклама с защитой от мошенничества и нарушений. Частично такое мошенничество легко провернуть из-за того, как устроен поиск рекламы в AppStore. Многие постоянные пользователи, возможно, даже не знают, что кликают по рекламе. Как минимум Apple должна проверять рекламу на потенциальное мошенничество, прежде чем запускать её (Facebook и Google это делают). Также стоит более очевидно обозначить, что самые верхние результаты в списке являются рекламой.
  • Наложить штраф и обратиться в суд. Это предложение последнее в списке, потому что очень маловероятно, что Apple на это пойдёт. В настоящее время нет стимула прекратить создание таких мошеннических приложений. Самое страшное, что может произойти для злоумышленника,  —  его аккаунт удалят. Но это не имеет значения, потому что у него всё равно останется выручка, добытая нечестным путем, а позже он всё сможет создать новый аккаунт и повторить свою схему. Создать сдерживающий эффект можно только с помощью исков и штрафов.

Последнее замечание

Если вы разрабатываете что-то, что приносит пользу, как-то улучшает жизнь людей, то пользователи будут только рады заплатить за это, и тогда все останутся в выигрыше. Однако для создания хороших приложений требуется дизайн, разработка, навыки продаж, а также тяжёлая и самоотверженная работа.

Я даже не говорю об очевидной моральной неправоте использования уязвимой категории пользователей для получения дохода. Просто очень тревожно осознавать, что некоторые разработчики становятся финансово успешными, потому что идут по легкому и неэтичному пути , создавая фальшивые приложения, цель которых в том, чтобы красть деньги у неинформированных слоёв населения.

0
14 комментариев
Написать комментарий...
Derek Mongatter

Кажется я знаю какой стартап запущу следующим.
И кредит за смузи машину погашу...

Ответить
Развернуть ветку
Кирилл Хромов

Как вообще в апп стор проходят антивирусы? Раньше сколько новостей было что эпл то одно приложение не допустил то другое заблокировал за ненужные и дублирующие функции (фонарик).
Так почему сейчас апл стор стал похож на мусорку?
Антивирус на айос просто не сможет работать тупо из за ограничений системы

Ответить
Развернуть ветку
Dima Zakharov

Подменяют раьоту программы после модерации. Или пишут что - это розыгрыш, уену на время ревью ставят минимальную и тд.

Ответить
Развернуть ветку
Макс Бури

Мой друг попросил узнать, где можно скачать инструкцию как это делать...

Ответить
Развернуть ветку
AS

Мне мозги пару месяцев ебали с приложением про киберспорт. А ответ прост - одно дело, когда пользователи недовольны, и совсем другое - когда потенциально может быть недовольным какой-нибудь Valve с хорошими юристами.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
DJ

Подписки, теперь и в App Store)

Ответить
Развернуть ветку
Tony Stark

Статью кибер-Бэтман писал прям.

Ответить
Развернуть ветку
Дима Чуркин

хз, тоже щас с автопродляемыми подписками балуюсь - и скажу что народ их поголовно отменяет.... пока ни рубля не заработал

Ответить
Развернуть ветку
Макс Бури

А можно подробнее? Очень хочется получить информацию из первых рук...

Ответить
Развернуть ветку
Дима Чуркин

ну уменя приложуха есть, в день активируют по 5-15 подписок.... по условиям первые 7 дней бесплатно а потом с каждого по 2500р снимется... ну и в итоге за неделю наблюдений - все поголовно отменили подписку

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
lench

Антивирус на ios, ну-ну

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Арсеньев Олег

Полезная статья, а главное, с юмором написана.

Ответить
Развернуть ветку
Gohnny Depp

Это называется природным отбором

Ответить
Развернуть ветку
11 комментариев
Раскрывать всегда