做安卓APP开发3年多的张琪(化名)近来常常有挫败感。
他时常感叹,如果两年前愿意放下身段去做“打包党”,或许早已买房买车,不用再为每月房贷发愁。
张琪口中的“打包党”是APP市场上并不小众的存在。
这些被业内人士称为“打包党”的人(或公司),会将互联网上最热门的应用拆包,此后插入一些自己想要分发的东西再重新拼装,最后把这些“二次打包”的软件重新发布,以此牟利。
长久以来,多数像张琪这样的小开发者,只能一边领着微薄的薪水,一边眼睁睁看着自己辛苦开发的软件被别人山寨后牟利,有苦难言。
一月净赚150万?
iOS和安卓两个不同平台上的APP开发小团队经常被描绘成两个相当迥异的存在。
类似的故事近来被一提再提:两个人分头创业做APP开发,1年后,在iOS上做游戏的小伙伴都挣到了买房子的首付;而醉心安卓的开发者还在借钱交房租。
这一切都是因为安卓“打包党”的存在。猎豹安全专家李铁军预测,如今市面的安装包约30%都被“打包党”篡改过。
“我们收集的安卓程序样本总量超过2000万个,如果不是此类盗版或山寨软件的流入,总量绝不会有这么多,安装率越高的软件被‘二次打包’的可能性越大。”李铁军告诉《第一财经日报》记者,像保卫萝卜、植物大战僵尸、水果忍者等曾经火爆的APP,都无一例外遭遇过“二次打包”。
在行情“火爆”的背后,是“二次打包”形成的一条灰色产业链。
相比以植入木马通过恶意扣费来获取利润的方式,通过嵌入广告方式赚钱的“打包党”在盈利模式上与很多正规安卓APP开发者并无二致。只不过,由于“打包党”是直接破解别人的APP,所以基本上是无本生意。
由于应用商店均被360、百度等几家大巨头把持,一般小开发者会选择弹窗广告联盟的形式合作推广。开发者通过广告收入获取提成。
广告有按照展示次数、点击次数、安装激活量等不同的计费形式。以安装激活量的计费形式为例,目前广告联盟开出的一个安卓APP下载包的定价在1~4元左右,开发者提成一般为70%。
“其实,开发者能拿到手的远远不到70%,扣除无效量等之后,一般50%已经是不错的。”有安卓APP开发者说。
张琪举例说,广告联盟目前给出的大众点评的安卓安装包4元左右,广告联盟把包分发给开发者,以注册量来结算,开发者可以从每个通过自己APP点击下载并成功注册大众点评安装包的用户中得到1.5~2元。
在这些安卓应用中,最值钱的是游戏类。
“游戏的安卓包可以达到5~6元1个,热门的高ARPU(每用户平均收入)游戏,单个安装激活价也比较高。”张琪说。
除了零成本,“二次打包”的技术门槛也很低,“有时候不用组团队,一个人也能做。”张琪说。
在暴利的驱使下,“二次打包”的灰色产业链迅速形成。国内较早从事APP加密产业的梆梆安全副总裁赵宇此前公开表示,一个10人的团队可以在一个月内靠病毒打包纯赚150万元。
“二次打包”的风险
无本暴利更坏还不是最坏的消息。更危险的是,“打包党”会在破解某APP后,加入病毒、广告链或吸费指令等恶意程序。“中招”的用户大多都会遭遇频繁的广告骚扰、流量损失,严重的还可能被窃取密码与个人隐私等。
“以前,‘打包党’主要针对游戏与工具类软件,但现在,一些恶意‘打包党’瞄准的是支付类软件,直接恶意扣费。这是一个比较大的隐患。”李铁军说。
更有苦难言的是,用户在误下载并使用了经过“二次打包”的软件后,一旦遭遇损失,大多数软件开发者还得为此“背黑锅”。
中移指数大数据移动互联研究院执行副院长阚志刚在日前中国移动应用安全媒体融合峰会上表示,目前约有12.6%的手机APP为恶意应用。
2014年11月,该研究院对国内几个主流应用商店前100名的APP进行安全测试,发现排名靠前的APP均遭受严重的破解和篡改等移动安全攻击。其中微信APP篡改攻击率达15.28%,各大应用商店一共存在514个微信APP,其中79个是假的。此外,超过95%的手机银行客户端的现有安全机制都存在严重的脆弱性。
不过,由此催生的是安全加固市场,在APP进入应用市场之前,对APP客户端进行加密、加壳保护,对抗逆向工程、代码注入等黑客行为。
目前市场上提供的大部分安全加固方案主要通过加壳、加密操作,只能对抗静态分析和简单的逆向工程。
但与此同时,恶意程序加固的问题也开始成为新的困扰。
有报道称,国家互联网应急中心何能强博士在此前的《2014中国网络安全论坛》上公开表示,2014年监测到的互联网上加固的安全应用程序超过7万个,恶意程序有7000多个。
据何能强介绍,2012年上半年,国家互联网应急中心曾接到过一个关于仿冒微信客户端的举报事件,该恶意程序就是经过加固的。