chia sẻ:

Người Mỹ lật tẩy nhiều lập trình viên Việt: kiếm 80.000 USD/tháng bằng ứng dụng lừa đảo trên App Store

13/06/2017 01:37 | Thông tin công nghệ

Cú lừa hoàn hảo dù tuân thủ mọi quy định của App Store.

Tại sự kiện WWDC mới đây, Apple thông báo đã chi trả 70 tỉ USD cho giới phát triển phần mềm, với 30% con số đó (21 tỉ USD) chỉ tính riêng năm 2016. Đây là bước nhảy vọt khổng lồ, và bất ngờ khi năm qua không có vẻ gì là bước nhảy tương tự đối với số lượng lượt tải. Vậy mức tăng trưởng vượt bậc ấy đến từ đâu? Các ứng dụng kiếm tiền như thế nào?

Hãy cùng khám phá một phần câu chuyện - cách các ứng dụng kiếm hàng chục nghìn đô mỗi tháng - theo từng bước cùng với Johnny Lin qua câu chuyện anh chia sẻ trên Medium. Bạn sẽ bị bất ngờ khi hàng loạt ứng dụng dạng này trên App Store Mỹ lại đến từ các lập trình viên Việt Nam.

Bước 1: Theo dấu đồng tiền

Tôi bắt đầu lướt qua danh sách top các ứng dụng trong mục Productivity (Năng suất) và thấy sản phẩm từ những cái tên quen thuộc như Dropbox, Evernote hay Microsoft. Điều này cũng dễ hiểu. Thế nhưng cái gì đây? Vị trí số 10 trên bảng xếp hạng các ứng dụng tăng trưởng mạnh nhất ở mục Productivity (thời điểm ngày 7/6/2017) là một ứng dụng mang tên “Mobile protection :Clean & Security VPN”.

 

Nhìn vào cái tên cẩu thả của ứng dụng này (cách viết hoa không thống nhất, dấu hai chấm đặt sai chỗ, thậm chí ngớ ngẩn về mặt ngữ pháp: “Clean & Security VPN”), tôi chắc rằng đây là lỗi của thuật toán xếp hạng. Thế nhưng khi sử dụng trang thống kê Sensor Tower để cho ra con số lợi nhuận ước tính của ứng dụng này, tôi bất ngờ khi thấy con số 80.000 USD mỗi tháng!

Không thể nào như thế được. Giờ thì tôi thực sự tò mò rồi đấy.

Tôi xem phần chi tiết ứng dụng và để ý rằng nhà phát triển có cái tên “Ngan Vo Thi Thuy”. Chờ đã, vậy thì đây là một dịch vụ VPN mang lại bởi một nhà phát triển độc lập, người mà thậm chí chẳng để tâm thành lập một công ty? Rõ là có vấn đề nghiêm trọng rồi.

Nếu bạn không hiểu tại sao điều này là tệ hại, thì một VPN (Virtual Private Network - ND) về cơ bản sẽ định tuyến mọi truy cập Internet của bạn thông qua một server của bên thứ 3. Thế nên trong trường hợp này, bối cảnh của chúng ta là một người nào đó thậm chí không thể đặt một cái tên hợp ngữ pháp cho ứng dụng, cũng chẳng thèm quan tâm chuyện lập công ty lại muốn truy nhập mọi lưu lượng Internet của bạn. Đáng ngờ chưa?

Một cảnh báo nghiêm trọng không kém nằm ở phần mô tả ứng dụng:

Theo phần mô tả này, “Mobile protection :Clean & Security VPN” có “rất nhiều tính năng” - điều này chắc có nghĩa là nó có rất nhiều “cái gì đó không đúng”.

Rõ ràng, “Mobile protection” bao gồm cả bảo vệ bạn khỏi bị “trùng lặpp” (dupplicate - sai chính tả) danh bạ. Và những tính năng “quét” này theo phần mô tả được khẳng định là “An ninh mạng bằng Quét nhanh & Quét toàn bộ”. Tôi sẽ tặng hẳn 5 tỷ USD (gốc là 5 internets, nhưng dịch thế cho vui) cho bất cứ ai có thể xác định mối liên quan giữa An ninh mạng và trùng lặp liên hệ trong danh bạ.

Khi thấy tất cả những dấu hiệu nguy hại này - tôi còn chưa tải ứng dụng về đâu nhé - tôi thử xem mục Đánh giá và lập tức tìm thấy những đánh giá 5 sao mơ hồ, giả tạo:

Nhìn ngày tháng của những đánh giá này, trong lòng tôi lại dấy lên một câu hỏi khác. Ứng dụng này rốt cuộc đã tồn tại bao lâu rồi? Chà, cũng theo Sensor Tower, “Mobile protection :Clean & Security VPN” đã nằm trong top 20 ứng dụng tăng trưởng nhanh ở mục Productivity được gần 2 tháng, kể từ ngày 20 tháng Tư.

Bước 2: Phản hồi lộn xộn

Quá tò mò vì sao một ứng dụng như vậy có thể tăng trưởng mạnh, tôi đã tải nó về. Đây là những gì xảy ra khi tôi lần đầu mở nó lên:

Đúng vậy, “Ứng dụng này cần tru cậppp Danh bạ của bạn để quét Danh bạ của bạn trước” - sai chính tả bold đậm rõ ràng chưa? (“cccess” - lỗi chính tả). Lựa chọn duy nhất ở đây là chạm vào nút “Đồng ý”, và sau đó iOS hỏi tôi có muốn trao quyền “tru cậppp” Danh bạ cho ứng dụng này không. À, không, cảm ơn?

Sau khi bỏ qua bước này, ứng dụng cho tôi biết thiết bị của tôi đang gặp nguy cơ. Hẳn rồi. Nó cũng sẵn sàng để “Phân tích Thiết bị”, Quét Nhanh và Đầy đủ, và bảo mật Internet cho tôi (nóng lòng quá!).

Việc chạm vào “Phân tích thiết bị”cho thấy dung lượng bộ nhớ và dung lượng lưu trữ trống của tôi - một tính năng khá vô dụng và không mấy liên quan. Chạm vào cả phần Quét Đầy đủ và Quét Nhanh đều cho thấy: “Danh bạ của bạn đã được làm sạch. Không phát hiện trùng lặpp.”. Tuyệt quá, không có trùng lặp, chắc là ngoại trừ một chữ cái “p” thừa trong từ “trùng lặpp” phải không?

Được rồi, cuối cùng chắc tôi sẽ cố bảo mật Internet của mình bằng cách chạm vào “Bảo mật Internet”, phải không nhỉ?

Sau khi tôi chạm vào thì màn hình hiện ra thế này:

Hẳn rồi, tôi được trao cơ hội để “Lập tức sử dụng đầy đủ tính năng antivirus thông minh” bằng cách chạm vào nút “FREE TRIAL” (dùng thử miễn phí). Miễn phí cơ đấy. Sau khi tôi chạm vào thì màn hình tiếp theo như thế này:

Yêu cầu Touch ID à? Được thôi! Chờ đã… hãy cùng đọc mô tả: “Bộ quét Virus, Malware Hoàn chỉnh”. Gì cơ? Tôi khá là chắc chắn rằng không ứng dụng nào có khả năng quét máy iPhone của tôi để tìm kiếm virus hay malware cả, đơn giản bởi các ứng dụng bên thứ ba gói gọn trong sandbox của riêng mình, với khả năng truy cập tới dữ liệu phát sinh của chính ứng dụng đó. Nhưng thôi hãy cứ xem tiếp đã…

“Bạn sẽ trả 99,99 USD cho gói đăng ký 7 ngày”

Gì cơ?

Nằm trên dòng thứ ba của đoạn văn bản cỡ chữ nhỏ này, iOS thông báo rằng đặt ngón tay tôi lên nút Home bây giờ có nghĩa là tôi đồng ý bắt đầu gói đăng ký 100 USD. Không chỉ vậy, mà là 100 USD MỖI TUẦN? Tôi còn cách việc mất 400 USD MỘT THÁNG để định tuyến mọi truy nhập Internet của mình về một kẻ lừa đảo có một cái chạm tay?

Tôi nghĩ mình đã may mắn khi thực sự đọc kĩ toàn bộ phần mô tả ở yêu cầu này. Thế nhưng, những người khác thì sao?

Bước 3: Bỏ tiền quảng cáo rồi kiếm lợi nhuận sau

Đến đây cách ứng dụng này kiếm được 80.000 USD mỗi tháng trở nên rõ ràng và có lí hơn rất nhiều. Ở mức giá 400 USD một tháng mỗi người đăng ký, nó chỉ cần lừa được 200 người để đạt con số 80.000 USD 1 tháng, hay 960.000 USD một năm. Trong số đó, Apple có được 30% theo quy định, hay 288.000 USD mỗi năm chỉ riêng từ ứng dụng này.

Tới đây, bạn vẫn có thể chưa tin lắm. Có lẽ bạn đang nghĩ: “Hẳn rồi, chỉ 200 người, nhưng dù sao, không có vẻ gì là có ai đó sẽ tải ứng dụng nhìn đã thấy lừa đảo này, chứ nói gì là trả tiền cho nó.”

Có thể bạn sẽ không tải nó. Tôi chắc chắn cũng sẽ không làm vậy. Nhưng để tôi nhắc lại một sự thật, tôi cũng chưa bao giờ ấn vào một quảng cáo nào từ Google, thế mà Google Adwords vẫn là nguồn thu chính cho đế chế 700 tỉ USD này đó thôi. “Mobile protection :Clean & Security VPN” hiện tại đang xếp hạng 144 tại trên bảng top các ứng dụng được tải về nhiều nhất mục Productivity của App Store, với ước tính có 50.000 lượt tải chỉ trong tháng Tư.

Để có 200 người đăng ký từ 50.000 lượt tải, ứng dụng này chỉ cần đạt tỉ lệ chuyển đổi 0,4% - hay thậm chí ít hơn, bởi đây là loại đăng ký tự động làm mới theo chu kỳ, người đăng ký sẽ chất chồng từ tháng này sang tháng khác. Chắc bạn cũng đã có thể tưởng tượng viễn cảnh những người thân mù công nghệ vô ý (hoặc thậm chí cố ý) đăng ký bản “thử nghiệm miễn phí” này để bảo vệ iPad của họ khỏi virus?

Nhưng trước tiên, làm sao mà ứng dụng này đạt mức 50.000 lượt tải kia được?

Tôi đã từng đọc ở đâu đó rằng một tỉ lệ lớn các ứng dụng được người dùng phát hiện thông qua hệ thống tìm kiếm của App Store. Thế nên có lẽ, ứng dụng này bằng cách nào đó được tối ưu hóa tìm kiếm ứng dụng (App Search Optimization - ASO) thực sự tốt. Tôi đã thử tìm kiếm trên App Store với từ khóa “virus scanner”:

Kết quả đầu tiên là một quảng cáo cho ứng dụng “Protection for iPhone - Mobile Security VPN”. Nghe cũng có vẻ quen thuộc. Đây không phải là ứng dụng chúng ta đã đề cập, nhưng mục In-App Purchase (mua trong ứng dụng) là “Dùng thử Bảo vệ Cao cấp Miễn phí” với giá 99,99 USD, hiện ở hạng 33 trong top tăng trưởng của mục Business.

Hóa ra, những kẻ lừa đảo đang lạm dụng chức năng Quảng cáo Tìm kiếm mới còn non trẻ trên App Store của Apple. Chúng đang chiếm lợi thế từ việc không có bộ lọc hay quy trình kiểm duyệt riêng cho quảng cáo, và quảng cáo đó nhìn không thể phân biệt được với kết quả tìm kiếm thực, hơn nữa vài quảng cáo sẽ chiếm gần như toàn bộ trang đầu tiên của kết quả tìm kiếm.

Sau đó, khi tìm kiếm sâu hơn, tôi nhận ra rằng thật không may khi đây không phải những sự cố riêng rẽ: chúng tương đối phổ biến trong danh sách top các ứng dụng tăng trưởng nhanh của App Store. Và chuyện này xảy ra không chỉ với riêng những từ khóa liên quan tới bảo mật. Những kẻ lừa đảo này có vẻ như trả tiền quảng cáo cho rất nhiều loại từ khóa, ví dụ như khi tìm kiếm từ khóa “wifi”:

Kết quả đầu tiên trả về là một quảng cáo cho ứng dụng “WEP Password Generator”, một ứng dụng sinh chuỗi mặc định cực đơn giản với giá 50 USD một tháng. Hiện nó đang kiếm được 10.000 USD mỗi tháng, dù chỉ mới ra mắt hồi tháng Tư. Nó có vẻ như là một bản sao của ứng dụng này (kiếm được 20.000 USD mỗi tháng với giá đăng ký cao hơn). Việc này cho thấy rằng phương thức này đã trở nên lớn tới mức những kẻ lừa đảo đang sao chép của nhau.

Khắc phục App Store: Bạn có thể làm gì?

Đầu tiên, nếu bạn là một nhà phát triển phần mềm đang đọc bài này mà bằng cách nào đó có đạo đức dưới mức trung bình, thì xin chúc mừng! Bạn vừa học được một cách (tương đối) dễ dàng để kiếm hàng chục ngàn USD trên App Store - ít nhất tới khi họ thay đổi một vài thứ. Còn nếu không, thì sau đây là một vài gợi ý về việc bạn có thể làm:

- Dạy những người bạn, người thân của bạn - những người ít hiểu biết công nghệ - cách kiểm tra và vô hiệu hóa đăng ký (subscription). Nếu họ đã rơi vào hoàn cảnh tương tự, hãy chỉ cho họ cách yêu cầu hoàn tiền.

- Báo cáo những ứng dụng lừa đảo mỗi khi bạn thấy chúng với chương trình iTunes Connect. Bạn cần điền vào form “Contact Us”, lựa chọn mục “Feedback and Concerns” và “Report a Fraud Concern” (Báo cáo Quan ngại Lừa đảo).

- Chia sẻ bài viết này, hoặc bài viết gốc tại địa chỉ này. Điều quan trọng là bạn chia sẻ thông tin này rộng rãi.

Trong bài viết của mình, Johnny cũng đưa ra các gợi ý về những điều Apple nên làm. Nhưng trong khuôn khổ cho phép của bài viết này, cũng như mục đích của phần đó hướng tới Apple, chúng tôi xin phép không đề cập tới ở đây. Bạn đọc từ góc nhìn khác nhau, sẽ có suy nghĩ rất khác nhau về câu chuyện này. Nhưng trên hết, chúng tôi mong mọi độc giả hãy cảnh giác trước những ứng dụng kiểu này, lan truyền thông điệp, cũng như báo cáo những ứng dụng tương tự nhằm làm trong sạch hơn môi trường ứng dụng cho tất cả mọi người.

Nguồn:genk.vn