Tại WWDC 2017, Apple công bố đã trả 70 triệu USD cho các nhà phát triển và chỉ riêng năm ngoái là 21 triệu USD, chiếm 30%. Đó quả thực là con số tăng đột biến và gây ngạc nhiên, khiến cây bút Johnny Lin tìm hiểu và muốn tìm hiểu các nguồn thu này đến từ đâu.
Anh đã có bài phân tích trên trang Medium:

Đi theo dòng tiền

Ứng dụng lừa đảo xuất hiện bên cạnh những phần mềm nổi tiếng.
Tôi mở App Store để xem những ứng dụng có doanh thu cao. Trong mục Productivity xuất hiện những phần mềm đến từ các công ty nổi tiếng như Dropbox, Evernote hay Microsoft và điều này hoàn toàn nằm trong dự kiến. Nhưng ở hạng 10 là ứng dụng có tên 'Mobile protection :Clean & Security VPN' (tạm dịch: Bảo vệ di động: Làm sạch & Bảo mật mạng riêng ảo).
Cái tên này thật kinh khủng: viết hoa không thống nhất, sai quy tắc dấu (dấu hai chấm ':' lại có khoảng cách ở trước) và cụm từ 'Clean & Security VPN' vô nghĩa về ngữ pháp. Tôi chắc chắn đây là một lỗi trong thuật toán xếp hạng nên đã kiểm tra trên Sensor Tower để ước tính doanh thu của nó. Thật không thể tin được khi ứng dụng trên có thể thu về 80.000 USD (khoảng 1,8 tỷ đồng) mỗi tháng.
Tôi bấm vào để xem chi tiết ứng dụng thì thấy rằng nhà phát triển là 'Ngan Vo Thi Thuy'. Như vậy, đây là một dịch vụ VPN được cung cấp bởi một nhà phát triển độc lập thay vì một công ty. Chỉ riêng vậy cũng là báo động đỏ.
Lý do là ứng dụng VPN nắm giữ toàn bộ các tuyến truy cập Internet trên thiết bị của bạn thông qua một máy chủ thứ ba. Vì thế, chắc chắn bạn sẽ không muốn giao quyền kiểm soát Internet cho một cá nhân với một ứng dụng mà cái tên viết cũng không chuẩn.

Mô tả các tính năng của ứng dụng lừa đảo.
Nhưng nguy hiểm hơn là phần mô tả về ứng dụng khủng khiếp này. Theo đó, 'Mobile protection :Clean & Security VPN' có đầy đủ tính năng như bảo vệ điện thoại (Mobile protection) bao gồm bảo vệ người dùng khỏi các liên hệ trùng lặp, quét toàn bộ kết nối Internet. Giữa hai vấn đề này chẳng có chút liên quan nào cả.
Với những báo động trên, tôi đã không lập tức tải ứng dụng này về. Trước hết, tôi lượn qua một vòng để xem đánh giá của người dùng về nó, thì toàn là các chấm điểm 5 sao giả mạo. Lần theo đánh giá, tôi quyết định xem ứng dụng này được đưa lên App Store từ khi nào. Theo Sensor Tower, 'Mobile protection :Clean & Security VPN' đã nằm trong top 20 ứng dụng Productivity có doanh thu cao nhất từ 20/4, tức gần 2 tháng nay.

Những đánh giá 5 sao giả mạo.

Những hành vi lừa đảo

Tò mò về ứng dụng có doanh thu hàng đầu này, tôi đã tải nó về. Đầu tiên, phần mềm đòi quyền truy cập danh bạ 'This app need to cccess to your Contact to scan your Contact first'. Tùy chọn duy nhất mà nó đưa ra là Đồng ý, sau đó iOS đã hỏi tôi có cho phép ứng dụng truy cập danh bạ không. Dĩ nhiên là tôi sẽ không thể chấp nhận với một phần mềm viết sai từ 'cccept' (viết đúng là: accept).

Thông báo yêu cầu cấp quyền truy cập danh bạ.
Bỏ qua điều đó, ứng dụng cho biết thiết bị của tôi đang gặp nguy hiểm. Nó cũng sẵn sàng để 'phân tích thiết bị', quét nhanh và quét toàn bộ, bảo vệ Internet. Tôi bấm vào 'Device Analyze', ứng dụng hiển thị bộ nhớ sử dụng và bộ nhớ trống trên máy của tôi - một tính năng vô dụng và chẳng liên quan.

Ứng dụng thông báo thiết bị không an toàn.
Chọn 'Quick Scan and Full Scan', nó báo 'Your contact is cleaned. No dupplicated found' (Danh bạ của bạn sạch, không tìm thấy trùng lặp nào). Vấn đề chính tả lại xuất hiện ở đây, có lẽ từ 'dupplicated' đã bị thừa chữ 'p' ở cuối.Cuối cùng tôi bấm vào 'Secure Internet' và đây là những gì phần mềm hiện ra.

Lời mời chào chơi game mà không cần cài đặt.
Nó 'hào phóng' đề xuất một trò chơi bắn bóng có thể thưởng thức mà không cần cài đặt và dĩ nhiên tôi không sẵn sàng để thử 'món quà' này nên bấm dấu 'X' để thoát ra. Một màn hình xanh hiện lên và đây chính là phần lừa đảo.
Ứng dụng nói tôi có thể 'Ngay lập tức sử dụng toàn bộ ứng dụng diệt virus thông minh bằng cách bấm vào nút dùng thử miễn phí'. Nó nói là miễn phí, hoàn toàn miễn phí, nhưng không phải vậy.

Gợi ý dùng thử miễn phí...
Một bảng thông báo của iOS hiện ra yêu cầu xác nhận vân tay. Nếu chạm vào, đồng nghĩa với việc bạn sẽ đăng ký thuê bao sử dụng nó với giá 99,99 USD mỗi tuần, một tháng sẽ vào khoảng 400 USD.

...nhưng thực chất phải trả thuê bao 99,99 USD cho 7 ngày.

Kiếm tiền bằng quảng cáo

Làm thế nào để 'Mobile protection :Clean & Security VPN' thu về 80.000 USD mỗi tháng? Nếu giá thuê bao 400 USD/tháng, kẻ đứng sau nó chỉ cần lừa được 200 người sử dụng và sẽ thu về 960.000 USD mỗi năm. Trong khoản tiền này, Apple thu được 30%, tức 288.000 USD/năm, chỉ riêng từ ứng dụng này.
'Mobile protection :Clean & Security VPN' đang xếp hạng 144 trong số những ứng dụng miễn phí được tải về nhiều nhất trên App Store với khoảng 50 nghìn lượt tải trong tháng 4. Để có được 200 người đăng ký thuê bao, thì tỉ lệ chuyển đổi chỉ là 0,4%, hoặc thậm chí ít hơn vì các thuê bao này sẽ tự động gia hạn.
Với người sành công nghệ thì không nói, nhưng với ai 'gà mờ' một chút hoặc vô tình chạm vào cảm biến vân tay thì đã được sử dụng 'miễn phí' phần mềm 'diệt virus' này với giá 99,99 USD/tuần.
Nhưng làm sao để ứng dụng này có được 50.000 lượt tải về đầu tiên? Phần lớn các ứng dụng được phát hiện thông qua cơ chế tìm kiếm của App Store và rất có thể 'Mobile protection :Clean & Security VPN' đã được làm ra nhằm tối ưu cho bộ máy tìm kiếm (SEO).

Ứng dụng được nhà phát triển quảng cáo được hiện lên đầu.
Tôi quyết định tìm kiếm trên App Store với từ khóa 'virus scanner' và kết quả đầu tiên trả về là quảng cáo 'Protection for iPhone - Mobile Security VPN'. Cái tên nghe quen quen và nó cũng có mục sử dụng 'miễn phí' nhưng phải trả 99,99 USD. Hiện ứng dụng này đang xếp hạng 33 trong mục Business.
Hóa ra, những kẻ lừa đảo đã lạm dụng tính năng quảng cáo khi tìm kiếm trên App Store, một mục mà Apple mới đưa vào nên chưa có quy trình chọn lọc hay phê duyệt quảng cáo. Trong khi đó, người dùng hầu như không phân biệt được đâu là kết quả tìm kiếm thực sự, đâu là quảng cáo.
Đáng chú ý hơn, trong danh sách những ứng dụng có doanh thu cao trên App Store thì còn nhiều phần mềm lừa đảo tương tự. Vấn đề xảy ra không chỉ với từ khóa 'virus scanner' mà còn với cả từ khóa 'wifi' khi mà những kẻ lừa đảo dùng tiền mua toàn bộ những vị trí đầu khi hiển thị kết quả tìm kiếm.

Thêm một ứng dụng 'vô bổ' nhưng yêu cầu trả phí 50 USD/tháng.
Ứng dụng 'WEP Password Generator' trả về khi tìm với từ 'wifi' thực chất chỉ giúp tạo ra một chuỗi ngẫu nhiên nhưng tính phí 50 USD/tháng. Nó đã kiếm được 10.000 USD mỗi tháng, dù mới phát hành trong tháng 4. Nó có thể là một bản sao của 'Mobile protection :Clean & Security VPN' và kiểu lừa đảo này đang trở nên phổ biến nên kẻ đứng sau đang sao chép lẫn nhau.
Để tránh bị lừa đảo, trước hết cần trang bị kiến thức về công nghệ cho mình và cho mọi người để phòng trừ. Nếu lỡ bấm vào đăng ký, hãy yêu cầu hoàn lại tiền vì Apple có chính sách này, có kèm điều kiện. Ngoài ra, hãy báo cáo sai phạm nếu phát hiện bất kỳ ứnng dụng lừa đảo nào.
Bảo Anh
Theo Đời sống & Pháp lý