Bài viết dịch lại từ blog của tác giả Johnny Lin trên Medium mô tả cách anh tìm thấy một ứng dụng lừa đảo nhưng hiện kiếm được rất nhiều tiền từ Apple.

[irp]

Tại WWDC, Apple nói họ đã trả 70 tỷ USD cho các nhà phát triển ứng dụng, 30% trong số đó (21 tỷ USD) đã trả trong năm ngoái.

Không cần phải bàn, nó là sự gia tăng đột biến và gây ngạc nhiên với tôi, bởi vì tôi và bạn bè của tôi đã không tiêu nhiều hơn vào các ứng dụng. Nhưng đó là giai thoại, vì vậy tôi tự hỏi: Các nguồn thu này đến từ đâu? Tôi đã mở App Store để duyệt qua các ứng dụng có doanh thu cao nhất.

Bước 1: Đi theo dòng tiền

Tôi cuộn xuống danh sách trong danh mục Productivity và thấy các ứng dụng từ các công ty nổi tiếng như Dropbox, Evernote và Microsoft. Điều đó đã được dự kiến. Nhưng cái gì đây? Ứng dụng số 10 trong danh sách Top Grossing Productivity (Sản phẩm thu nhập hàng đầu) (tính đến ngày 7/6/2017) là một ứng dụng được gọi là “Mobile protection :Clean & Security VPN” (Bảo vệ thiết bị di động: Mạng sạch và bảo mật).

Với tiêu đề theo tôi là khủng khiếp của ứng dụng này (viết hoa không nhất quán, sai dấu hai chấm, và “Clean & Security VPN” – vô nghĩa về ngữ pháp), tôi chắc chắn đây là một lỗi trong thuật toán xếp hạng. Vì vậy, tôi kiểm tra Sensor Tower để ước tính doanh thu của ứng dụng, và tôi thấy nó kiếm được đến 80.000 USD mỗi tháng? Điều đó không thể nào, và bây giờ tôi thực sự tò mò.

Tôi vào chi tiết ứng dụng và thấy ghi nhà phát triển là “Ngan Vo Thi Thuy”. Khoan đã, đây là một dịch vụ VPN được cung cấp bởi một nhà phát triển độc lập chứ không phải là một công ty? Đây rõ ràng là một sự nguy hại.

Nếu bạn không biết tại sao nó tồi tệ thì thế này, một VPN về cơ bản sẽ định tuyến toàn bộ lưu lượng truy cập internet của bạn thông qua một máy chủ bên thứ ba. Vì vậy trong trường hợp này – một người mà không thể ghép tựa đề đúng ngữ pháp, cũng không phải là một công ty – muốn truy cập vào tất cả lưu lượng internet của bạn.

Một nguy hiểm khác là mô tả khủng khiếp của ứng dụng này:

Theo đó, “Mobile protection :Clean & Security VPN” có đầy đủ tính năng (Full of features), như “Mobile protection” gồm bảo vệ bạn khỏi các danh bạ “trùng lặp”. Và tính năng “scans” này là được tuyên bố là “Quick & Full Scan Internet Security”. Tôi có thể đố cái cả Internet này có thể tìm ra mối quan hệ giữa Internet Security và các danh bạ trùng lặp.

Và với những điểm nguy hiểm này, tôi đã không tải ứng dụng vội. Tôi kiểm tra phần đánh giá (reviews) và toàn những 5 sao giả mạo

Dựa trên thời gian đánh giá đưa tôi đến câu hỏi: Ứng dụng này đã được đăng lên kho App Store khi nào.

Và theo Sensor Tower, “Mobile protection :Clean & Security VPN” đã nằm trong top 20 ứng dụng có thu nhập tăng trưởng nhanh ít nhất là từ ngày 20/4, tức chỉ trong 2 tháng.

Bước 2: Những hành vi lừa đảo

Với sự tò mò về ứng dụng có doanh thu hàng đầu này, tôi đã tải nó xuống. Và dưới đây là những gì xảy ra khi tôi mở nó lần đầu tiên:

Vâng, đúng như hình trên nhé, “This app need to cccess to your Contact to scan your Contact first.” (bạn chú ý chữ access còn viết thiếu cả chữ ‘a’)

Và chỉ có một tuỳ chọn là bấm vào Agree, tiếp theo iOS yêu cầu tôi phải cấp quyền vào danh bạ của mình. Tôi đã không chọn lựa điều này.

Khi đã bỏ qua, ứng dụng này lại thông báo là thiết bị của tôi đang gặp nguy hiểm. Dĩ nhiên rồi vì tôi đã thử cài chính ứng dụng nguy hiểm mày.

Nó cũng cho biết là sẵn sàng để “Device Analyze”, quét Quick and Full Scan, và bảo mật kết nối internet của mình (!)

Tôi bấm vào Device Analyze, nó cho tôi thấy bộ nhớ còn trống trên iPhone và dung lượng lưu trữ, một tính năng thực sự vô dụng.

Tiếp tục bấm vào Quick Scan và Full Scan, nó cho tôi dòng
“Your contact is cleaned. No dupplicated found.”

và bạn cũng nên chú ý thông báo, từ dupplicated với chính xác đã dư 1 chữ p<

Cuối cùng tôi thử bấm vào nút Secure Internet và đây là kết quả.

Như hình trên bạn thấy, ứng dụng mời gọi tôi chơi trò chơi … bắn bong bóng mà không cần cài đặt???

Tôi không chắc lắm về phần quà bất ngờ này nên bấm vào nút X, dưới đây là mình tiếp theo.

Như các bạn thấy, đây là lừa đảo.

Tôi tiếp tục thử bấm vào Instantly use full of smart anti-virus bằng cách bấm vào nút FREE TRIAL.

Và như hình dưới đây:

Chỉ cần chạm ngón tay đã đăng ký Touch ID, tôi sẽ phải trả 99,99 USD cho việc đăng ký trong 7 ngày…

Và dĩ nhiên tôi đã không lựa chọn, một khoản chi phí điên rồ cho chỉ 1 tuần mà tất cả việc tôi cần làm là chạm ngón tay vào cảm biến….

Bước thứ 3: Tất cả chỉ là nhằm kiếm tiền quảng cáo

Nó đột nhiên làm tôi cảm giác rằng ứng dụng này làm thế nào đã kiếm về đến 80.000 USD một tháng. Ở mức 400 USD/tháng cho mỗi người, chỉ cần ứng dụng này lừa đảo 200 người thì số tiền 80.000USD/tháng, hoặc 960.000USD/năm trở nên nhẹ nhàng.

Trong số tiền đó, Apple chỉ mất 30%, hoặc 288.000 đô la – chỉ từ một ứng dụng này.

Bạn có thể không tin, có lẽ bạn sẽ không tải nó. Riêng tôi chắc chắn là không.

Nhưng tôi cũng chưa bao giờ nhấp vào một Quảng cáo nào từ Google, nhưng Google bằng cách nào đó đã kiếm được từ Adwords con số lên đến 700 tỷ USD.

“Mobile protection :Clean & Security VPN” hiện đang xếp thứ 144 trong những ứng dụng miễn phí được tải xuống nhiều nhất trong App Store, với khoảng 50.000 lượt tải vào tháng Tư.

Để có được 200 người đăng ký từ 50.000 lượt tải xuống, họ chỉ cần chuyển đổi 0,4% thành tài khoản mua hàng – hoặc thậm chí còn ít hơn, bởi vì các thuê bao này được tự động gia hạn, do đó các thuê bao xếp hàng tháng này qua tháng nọ.

Hãy thử tưởng tượng được một người họ hàng không biết công nghệ của bạn vô tình (hoặc thậm chí cố ý) đăng ký “dùng thử miễn phí” này để bảo vệ iPad khỏi virus?

Nhưng làm thế nào để ứng dụng này có được 50.000 lượt tải về đầu tiên? Tôi nhớ đã đọc rằng phần lớn các ứng dụng đã được phát hiện thông qua tìm kiếm trong cửa hàng ứng dụng. Vì vậy, có thể ứng dụng này bằng cách nào đó đã thực hiện tốt phần tối ưu tìm kiếm. Tôi đã thử tìm kiếm cửa hàng ứng dụng cho từ khoá “virus scanner”

Kết quả đầu tiên như hình trên, là một quảng cáo cho ứng dụng “Protection for iPhone — Mobile Security VPN”.

Trông nó rất tương đồng. Nó không phải cùng ứng dụng, nhưng nó cũng có In-App Purchase và “Free Trial to Premium Protection” với giá 99,99USD, và nó xếp hạng #33 trong Top Grossing ở danh mục ứng dụng Business.

Hóa ra những kẻ lừa đảo đã lạm dụng Quảng cáo Tìm kiếm tại App Store, một tính năng tương đối mới và chưa hoàn thiện của Apple. Họ đang lợi dụng thực tế là không có quy trình lọc hoặc phê duyệt cho quảng cáo, và quảng cáo hầu như không thể phân biệt được với kết quả thực sự. Một số quảng cáo chiếm toàn bộ trang đầu tiên của kết quả tìm kiếm.

Sau đó, tôi đào sâu tìm hiểu và thấy đây không phải là trường hợp cá biệt – chúng khá phổ biến trong danh sách doanh thu hàng đầu của cửa hàng ứng dụng. Và điều này không chỉ xảy ra với các từ khóa bảo mật. Có vẻ như những kẻ lừa đảo đang đặt giá thầu cho nhiều từ khóa khác. Dưới đây là tìm kiếm cho từ “wifi”

Kết quả đầu tiên là quảng cáo cho “Trình tạo mật khẩu WEP”, một bộ tạo chuỗi ngẫu nhiên đơn giản tính phí 50 USD/tháng. Nó đã kiếm được 10.000USD mỗi tháng, mặc dù mới được đưa lên Store vào tháng Tư. Nó có thể là một bản sao của ứng dụng này, có thể chương trình này đã trở nên quá lớn nên nhiều kẻ lừa đảo đang sao chép lẫn nhau.

Bạn có thể làm gì để khắc phục

Trước hết nếu bạn là một nhà phát triển, người có đạo đức chưa qua trung bình thì xin chúc mừng, bạn đã học được một cách tương đối dễ dàng kiếm được hàng chục ngàn USD trên App Store của Apple – ít nhất là cho đến khi họ thay đổi điều gì đó.

Nếu không, đây là một vài gợi ý:

1. Hãy dạy những người ít hiểu biết về công nghệ, người thân để biết cách kiểm tra và vô hiệu hóa việc đăng ký. Nếu họ bị ảnh hưởng, yêu cầu họ hoàn tiền lại.
2. Báo cáo ứng dụng lừa đảo khi bạn nhìn thấy chúng bằng biểu mẫu này của iTunes, chọn “Feedback and Concerns” (Phản hồi và mối quan tâm) và “Report a Fraud Concern”(Báo cáo sự lo ngại về gian lận).
3. Đăng ký cho đến khi Apple sửa lỗi này bằng cách nhấp vào “Recommend”(Đề xuất) ở cuối bài viết này và bằng cách chia sẻ với FB / Twitter.

Những gì Apple nên làm

Rất khó để tin rằng Apple không nhận thức được vấn đề này, vì những ứng dụng này không phải là những con cá nhỏ – tất cả đều nằm trong danh sách hàng đầu trên App Store. Có thể họ chỉ đơn giản không xem đó là một vấn đề đủ lớn để đối phó, hoặc nó chỉ xảy ra là một vấn đề rất có lợi cho các quảng cáo tìm kiếm và các nền tảng App Store của họ. Dù bằng cách nào, đây là một số gợi ý:

1. Loại bỏ kẻ lừa đảo và hoàn lại tiền: Đơn giản nhất là chỉ cần thuê ai đó chủ động và thường xuyên duyệt các ứng dụng hàng đầu và loại bỏ các trò gian lận. Như đã nói, những điều này không khó để phát hiện. Và đối với những người bị lừa thì Apple cần tự động và hoàn trả tất cả những khoản mua hàng trước đó.
2. Giao diện sử dụng tốt hơn: Không sử dụng chữ quá nhỏ với giá tiền nằm giữa chúng. Giá tiền nên nổi bật hơn nhiều, có thể là khoảng thời gian bắt buộc chờ 5 giây trước khi mua hàng có thể được thực hiện. Tại đây có thể hiển thị xếp hạng / đánh giá hữu ích / đánh giá gần đây nhất của ứng dụng để người dùng quyết định có nên mua hàng hay không.
3. Lọc nghiêm ngặt những đánh giá: Làm sao Apple lại để lọt qua những đánh giá từ tài khoản (được cho là) đã mua ứng dụng “Full Virus, Malware Scanner” với giá 400USD/tháng? Chỉ nghĩ thôi đã thấy không thể tin được.
4. Nhắc nhở xóa đăng ký trước khi xoá ứng dụng: Nhiều người đánh giá 1 sao về các ứng dụng lừa đảo cho biết họ đã bị tính phí ngay cả khi họ đã xóa ứng dụng. Đối với hầu hết người dùng, họ nghĩ đó là cách nó hoạt động – vậy tại sao nó lại không hoạt động như vậy? Tức là khi người dùng xóa ứng dụng, hãy hỏi người dùng rằng liệu họ có muốn hủy đăng ký (để không bị trừ tiền). Tất nhiên, hãy xác nhận lại lần nữa để họ không vô tình huỷ các dịch vụ đàng hoàng, ví dụ như Netflix.
5. Dễ dàng huỷ đăng ký: Đăng ký rất khó để hủy bỏ, thiết kế tập trung của Apple có vẻ cố ý làm cho nó khó khăn. Trên iOS 10, việc hủy đăng ký thực sự là một quy trình 9 bước. Ngay cả việc cài đặt một bàn phím từ bên thứ ba còn dễ hơn (sáu bước). Apple nên làm cho đơn giản hơn. Và nút “Báo cáo vấn đề” nhỏ trên biên nhận email  là không đủ. (Tôi thực sự không thể hoàn trả một trong những đăng ký lừa đảo, ngay cả thông qua các liên kết chính thức của Apple.)
6. Ngăn chặn Quảng cáo tìm kiếm gian lận: Một phần của việc làm cho lừa đảo này thành công là tính năng mới Store Search Ads. Nhiều người dùng thường xuyên có thể thậm chí không biết họ đang nhấp vào quảng cáo. Ít nhất Apple nên xem xét quảng cáo về các gian lận tiềm ẩn trước khi chạy chúng (Facebook và Google đều làm điều này) và làm cho rõ rằng kết quả trên cùng là quảng cáo.
7. Thực hiện các hành động pháp lý: Hiện tại hầu như không có rao cản nào để các nhà phát triển không xây dựng ứng dụng lừa đảo. Điều tồi tệ nhất có thể xảy ra là làm cho tài khoản của họ bị xóa – điều đó không thành vấn đề, bởi vì bạn vẫn giữ được lợi nhuận, và bạn vẫn có thể tạo một tài khoản mới và làm lại. Tạo ra hiệu quả ngăn chặn bằng cách phạt tiền và có hành động pháp lý chống lại những người phạm tội là điều nên có.

Một ứng dụng tốt đòi hỏi kỹ năng thiết kế, kỹ thuật và bán hàng, cũng như sự cống hiến và công việc khó khăn. Vì vậy, thật đáng thất vọng khi biết rằng một số nhà phát triển đang trở nên thành công về tài chính một cách dễ dàng và phi đạo đức – bằng cách chỉ tốn vài giờ viết code tảo a các ứng dụng giả mạo với chức năng hoàn toàn là để ăn cắp từ người dùng cả tin.

[irp]

Dịch từ: Medium