您现在的位置:首页 > 信息动态 > 最新消息 > 正文

诈骗App披上新马甲,你的手机真的安全吗?

发布时间:2024-05-23 来源:湖北省消费者委员会 阅读次数: 【字体:



诈骗App披上新马甲,你的手机真的安全吗?

出行打车、缴纳水电费、医院预约、工资收发、休闲娱乐……手机App已逐渐涵盖各行各业,成为消费者日常生活中不可或缺的存在。与此同时,与手机App相关的侵犯消费者合法权益的行为时有发生,更有不法分子为牟取不当利益推出一系列“灰产App”,如仿冒正版的李鬼App、诱导充值的诈骗型App等。此类App大多以各种方式和途径诱导消费者安装下载,大量索取权限后套取用户个人信息进而实施诈骗。

据《中国消费者》杂志记者了解,李鬼类App与正规App在名称、图标、显示等方面极为相似,迷惑性很强,且下载途径多为第三方或跳转链接。不少消费者被诱导下载后发现其隐藏诸多陷阱:过度索取权限、捆绑下载、广告弹窗不断……更有甚者引发诈骗风险。

此前,消费者张先生收到了“审核易通过”“可申请高额贷款”“秒放款”等内容的短信推送,遂点击短信中的第三方链接下载了一款某乐App,并提交了贷款申请。提交申请后,平台显示“贷款失败”,张先生咨询客服后“被要求”下载另一款App进行联系沟通。

随后,张先生按照App要求上传了个人身份证及银行卡照片,并在客服的引导下向指定账户转账1万元以验证还款能力。转账完成后,张先生的某乐App账户内显示可提现余额为2万元。张先生随即提现,却显示账户冻结,需充值4万元解冻,解冻后可提现6万元。张先生再次按照要求进行充值操作,却被告知“因未在指定时间内提款,需继续支付保证金。”

张先生这才意识到自己上当受骗,某乐App内所谓的提现余额及账户冻结等提示,均为不法分子通过后台手动操作进行。

原本想通过贷款缓解资金压力,未曾想钱未贷出,张先生却被骗了5万元。

事实上,张先生的经历并非个案。

此前,央视《焦点访谈》曾报道,有出售藏品需求的严女士通过第三方链接下载了一个名为“鉴物”的App,自称是香港某著名拍卖公司的官方App。严女士在鉴物App注册账号后,在客服的引导下存入10元钱并成功提现。随后,严女士放下戒心,按照平台要求上传了藏品照片。

几天后,鉴物App客服联系严女士称其展示的藏品以280万元的价格拍卖成功,且买方已支付100万元定金,需严女士支付2万元的保障金。

“我看到100万元定金已经打进了我的鉴物App账户,客服说交纳2万元保障金就可以提取。”接到鉴物App客服的香港来电后,严女士便将2万元存入鉴物App账户内。但当严女士提现时,却发现无法操作。

此时,严女士被告知因其“违规操作”,需补缴2万元才可进行下一步。在对方客服一步步地诱导下,严女士先后向鉴物App账户存入47000元。随后,严女士意识到自己可能被骗,遂报警。

经警方查证,严女士下载的鉴物App实为一款仿冒App。据湖北省孝感市孝昌县公安局刑事侦查大队一级警员易水寒介绍,严女士通过第三方链接下载的鉴物App实为诈骗团伙自行编写、未备案的App,平台客服同样也是诈骗团伙成员。

易水寒强调,“这款鉴物App是仿冒的香港某著名拍卖公司App,属于犯罪分子的定向诈骗。而这个App只能通过网站链接下载,在正规的手机应用市场里根本搜不到。”

记者调查发现,近年来,由仿冒类的李鬼App引发的诈骗案件并不罕见,更是涉及交友相亲、理财投资、网络贷款、征信查询、充值购物、垫付刷单、虚拟货币/物品交易等多种类型。此类App大多诱导消费者点击第三方软件或链接浏览下载,并非通过正规途径如手机官方应用商店下载。

除此之外,此类App还存在“跳转下载”的风险,即看上去似乎是一款正规的App,但消费者在点击下载的过程中会跳转下载成为另一款App。

据工业和信息化部反诈工作专班技术专家李坤介绍,这是目前市面上比较新颖的一种诈骗手段。“这类App上架后,不法分子可以通过一些动态加载、修复补丁或是直接将内置网页的后台进行更新、更换,最终把一个看似正规的App偷梁换柱后‘更新’为一个诈骗App。”行业内一般将此类App称为“马甲App”,上述偷梁换柱的技术被视为“热更新”。

事实上,与手机App相关的侵权问题多多:恶意携带应用子包、强制开机自启、获取手机内部隐私信息、监听并转发手机通话短信、恶意读取联系人、擅自后台下载未知软件、诱导用户过度授权个人信息、恶意内嵌并推广广告、自动下载后无法取消……此类App从开发、推广到上架运营,已形成灰色产业链,成为威胁手机系统安全的因素之一,其下载和使用对于用户而言存在着极大的风险隐患。

“中奖短信中的链接”“公安电话要求的屏幕共享”……不法分子通过App诈骗的现象时有发生,消费者应如何打好这场“手机安全保卫战”?


据《移动互联网应用程序信息服务管理规定》规定,应用程序分发平台应当建立健全管理机制和技术手段,建立完善上架审核、日常管理、应急处置等管理措施。基于此,手机厂商作为生产企业兼互联网信息服务提供者(应用分发平台)应当采取有效措施,切实保护用户合法权益。

这便意味着,手机厂商作为App市场的“守门人”,在手机应用安全保障方面有着不可推卸的责任和义务。

针对手机厂商是否会对App进行安全检测,《中国消费者》杂志记者采访了某终端厂商的应用安全负责人。该应用安全负责人告诉记者,基于Android系统的开源性,Android设备被发现恶意软件感染的数量远高于iOS的闭环系统,如允许第三方应用软件在Android系统中自由下载、安装而不采取任何防范措施,将会给用户的手机系统带来极大的安全隐患。因此,为了尽可能减少侵犯用户合法权益或危害网络安全的行为,终端手机厂商均会对App进行安全检测及风险提示,这也是国内主流安卓智能手机统一的行业通行安全策略。

事实果然如此吗?


记者分别在华为、小米、荣耀、vivo、联想、OPPO等安卓手机上进行了App下载体验,在安装环节均有不同程度表现形式的安全检测或风险提示。为了验证自有应用商店厂商的手机在安全检测方面是否有类似提醒,记者同样体验了腾讯ROG手机,结果并无太大差异。针对外部渠道下载的App,大多都会出现应用来源的提示,并以文字、弹窗、高亮等形式提示用户相关风险,建议用户前往系统自带的应用商店进行App的下载和安装。

从而可见,安卓系统之下,主流手机厂商与互联网厂商的做法基本一致,用户在下载App时,手机厂商对该行为进行安全检测和拦截已成行业惯例。

在上述应用安全负责人看来,手机厂商采取中立技术对第三方来源应用的未知风险进行有效检测后作出的包括弹窗、文字说明、图标展示、按钮设置等提示可以充分保护用户的选择权和知情权,既告知用户客观的风险,同时也让用户自行选择继续安装、前往系统自带应用商店安装或取消安装。

针对此前部分消费者担心的“手机厂商对第三方下载‘设障’”问题,上述应用安全负责人给予了否定答复“手机厂商设备下载第三方来源应用出现的‘外部来源应用提示’是安卓系统原生的功能,并非为竞争目的设置的不当手段。而下载过程中进行身份验证大多是考虑到外部来源应用存在客观风险,为了核实用户的身份,明确用户真实意图,减小用户误装恶意软件的可能性。”该应用安全负责人补充说明,“在提示过程中,主流手机厂商大多不会出现同一步骤反复确认的情景,从而造成用户下载、安装App过程的繁琐化。”

对于上述问题,北京大学法学院教授、国际知识产权研究中心主任易继明曾公开发文表示手机厂商对应用软件负有安全审查义务。

“行业标准《移动智能终端安全能力技术要求》特别强调移动智能终端通过给用户提示和让用户确认的方式来防范安全威胁,给用户的提示和明示可以是图标、文字、语言或其他明显的提示行为。在操作执行期间,提示应足够引起用户的注意。”

在易继明看来,安卓手机系统安装软件的来源除去手机厂商自运营的应用商店外,很大一部分源于外部第三方,具有随机性。针对此类不确定性较强的软件,手机厂商应启动相关风险检测和提示程序,以确保用户明确知悉可能的安全风险,并经过用户的明确同意方能下载、安装。“这也是履行《消费者权益保护法》第二十条关于真实、全面提供有关服务信息的义务的必要举措。”

“安卓手机厂商对外部软件来源基本会采取为履行安全审查义务的必要程序,包括但不限于弹窗提示外部来源、检测风险、提示风险检测结果、要求验证身份方能继续下载等,以引起用户的足够注意。”易继明认为,虽然上述设置会在一定程度上降低用户体验,但因安全所需部分牺牲用户使用软件的便捷性是确有必要的。“唯有如此,方能确保用户知情同意权充分实现,使不充分知情情形下因下载、安装恶意软件而遭受财产、人身权益的风险最小化。”


值得一提的是,最高人民法院、中央广播电视总台主办的“新时代推动法治进程2023年度十大案件”候选案例中,也有类似案例。最高人民法院在基本案情及推荐语中写到:“互联网正当竞争行为判定需要考虑经营者利益、消费费利益、社会公共利益。案件通过司法裁判方式,对被告追求营造清朗的未成年人网络空间的提示行为予以肯定,充分维护健康安全干净的网络环境,推动平安中国、法治中国建设。安全检测提示保障了人民在网络空间的民生权益,真正实现‘网络安全为人民,网络安全靠人民,让互联网更好造福人民’的宗旨。


文章来源:中国消费者