APP打包党的生意经：加入恶意程序 一月净赚150万_第一财经
APP打包党的生意经：加入恶意程序 一月净赚150万
第一财经日报王樱 10:44
做安卓APP开发3年多的张琪（化名）近来常常有挫败感。
他时常感叹，如果两年前愿意放下身段去做“打包党”，或许早已买房买车，不用再为每月房贷发愁。
张琪口中的“打包党”是APP市场上并不小众的存在。
这些被业内人士称为“打包党”的人(或公司)，会将互联网上最热门的应用拆包，此后插入一些自己想要分发的东西再重新拼装，最后把这些“二次打包”的软件重新发布，以此牟利。
长久以来，多数像张琪这样的小开发者，只能一边领着微薄的薪水，一边眼睁睁看着自己辛苦开发的软件被别人山寨后牟利，有苦难言。
一月净赚150万？
iOS和安卓两个不同平台上的APP开发小团队经常被描绘成两个相当迥异的存在。
类似的故事近来被一提再提：两个人分头创业做APP开发，1年后，在iOS上做游戏的小伙伴都挣到了买房子的首付；而醉心安卓的开发者还在借钱交房租。
这一切都是因为安卓“打包党”的存在。猎豹安全专家李铁军预测，如今市面的安装包约30%都被“打包党”篡改过。
“我们收集的安卓程序样本总量超过2000万个，如果不是此类盗版或山寨软件的流入，总量绝不会有这么多，安装率越高的软件被‘二次打包’的可能性越大。”李铁军告诉《第一财经日报》记者，像保卫萝卜、植物大战僵尸、水果忍者等曾经火爆的APP，都无一例外遭遇过“二次打包”。
在行情“火爆”的背后，是“二次打包”形成的一条灰色产业链。
相比以植入木马通过恶意扣费来获取利润的方式，通过嵌入广告方式赚钱的“打包党”在盈利模式上与很多正规安卓APP开发者并无二致。只不过，由于“打包党”是直接破解别人的APP，所以基本上是无本生意。
由于应用商店均被360、百度等几家大巨头把持，一般小开发者会选择弹窗广告联盟的形式合作推广。开发者通过广告收入获取提成。
广告有按照展示次数、点击次数、安装激活量等不同的计费形式。以安装激活量的计费形式为例，目前广告联盟开出的一个安卓APP下载包的定价在1~&4元左右，开发者提成一般为70%。
“其实，开发者能拿到手的远远不到70%，扣除无效量等之后，一般50%已经是不错的。”有安卓APP开发者说。
张琪举例说，广告联盟目前给出的大众点评的安卓安装包4元左右，广告联盟把包分发给开发者，以注册量来结算，开发者可以从每个通过自己APP点击下载并成功注册大众点评安装包的用户中得到1.5~2元。
在这些安卓应用中，最值钱的是游戏类。
“游戏的安卓包可以达到5~6元1个，热门的高ARPU（每用户平均收入）游戏，单个安装激活价也比较高。”张琪说。
除了零成本，“二次打包”的技术门槛也很低，“有时候不用组团队，一个人也能做。”张琪说。
在暴利的驱使下，“二次打包”的灰色产业链迅速形成。国内较早从事APP加密产业的梆梆安全副总裁赵宇此前公开表示，一个10人的团队可以在一个月内靠病毒打包纯赚150万元。
“二次打包”的风险
无本暴利更坏还不是最坏的消息。更危险的是，“打包党”会在破解某APP后，加入病毒、广告链或吸费指令等恶意程序。“中招”的用户大多都会遭遇频繁的广告骚扰、流量损失，严重的还可能被窃取密码与个人隐私等。
“以前，‘打包党’主要针对游戏与工具类软件，但现在，一些恶意‘打包党’瞄准的是支付类软件，直接恶意扣费。这是一个比较大的隐患。”李铁军说。
更有苦难言的是，用户在误下载并使用了经过“二次打包”的软件后，一旦遭遇损失，大多数软件开发者还得为此“背黑锅”。
中移指数大数据移动互联研究院执行副院长阚志刚在日前中国移动应用安全媒体融合峰会上表示，目前约有12.6%的手机APP为恶意应用。
2014年11月，该研究院对国内几个主流应用商店前100名的APP进行安全测试，发现排名靠前的APP均遭受严重的破解和篡改等移动安全攻击。其中微信APP篡改攻击率达15.28%，各大应用商店一共存在514个微信APP，其中79个是假的。此外，超过95%的手机银行客户端的现有安全机制都存在严重的脆弱性。
不过，由此催生的是安全加固市场，在APP进入应用市场之前，对APP客户端进行加密、加壳保护，对抗逆向工程、代码注入等黑客行为。
目前市场上提供的大部分安全加固方案主要通过加壳、加密操作，只能对抗静态分析和简单的逆向工程。
但与此同时，恶意程序加固的问题也开始成为新的困扰。
有报道称，国家互联网应急中心何能强博士在此前的《2014中国网络安全论坛》上公开表示，2014年监测到的互联网上加固的安全应用程序超过7万个，恶意程序有7000多个。
据何能强介绍，2012年上半年，国家互联网应急中心曾接到过一个关于仿冒微信客户端的举报事件，该恶意程序就是经过加固的。
编辑：群硕系统查看: 8671|回复: 29
戏说每夜版与持续集成（Continuous integration）与打包党的故事
阅读权限255
在线时间 小时
TA的每日心情奋斗 01:46签到天数: 1301 天连续签到: 2 天[LV.10]以坛为家III
持续集成是什么？
持续集成（Continuous integration）是一种开发策略，通过全自动化的构建、发布来进行版本验证。
为什么要持续集成？
安卓源码是一个庞大的项目，除了主代码树以外（主要控制通用功能模块），还需要针对每一款手机做适配。
适配机型时，除了要改动该机型的kernel(内核)，device(设备配置)，vendor(厂商私有库)以外，还可能改动主代码。
所以说整个项目的复杂度是很高的，为了确保整体代码库能够很好的工作，就要频繁的进行测试和集成。
这将有利于在早期发现风险并尽快的结局问题，而不是时隔多日才发现，再去追查这几天都干了什么。
举一个简单的例子，比如你的主代码适配了一百款机型，假使其中一款机型改动主代码的话，就可能影响到其它机型。
改动有问题所带来的后果是可能使别的机型的某些功能出现问题或者整个系统出现各种各样的问题。
每夜版的意义
通过服务器每天定时自动化的代码同步和构建新版本。
我们可以实时监控到代码库最新的健康状态，确保各个机型的正常编译。
同时，我们可以把最新的代码所带来的改动快速的展现给每一个乐于尝鲜的用户。
通过每个人不同的使用习惯和操作流程，我们可以更快速收集新代码引起的BUG或新功能的建议，以便我们更好的完善。
每夜版是正式版的奠基石，通过每夜版进行广泛的公测，再去发布较为稳定的正式版本。
随着ROM的不断开发和改进，持续集成永无止境。也不可或缺。
持续集成应用举例：
MoKee和CM是两个目前较为庞大的安卓开源项目，因为支持机型的数量众多，所以都在使用持续集成策略。
CM在使用一套由第三方维护的名为Jenkins的开源持续集成系统，详见：
在这个页面大家可以看到CM每天新版本的自动编译状态。
而MoKee在使用的则是一套根据自己需求开发定制的持续集成系统，没有名字：）姑且就叫魔趣持续集成系统好了。
同样，大家也可以在魔趣的集成系统状态监控页面看到魔趣每日新版本的自动编译状态。
详见： （每夜版） （正式版）
那么，经过上面的介绍，大家脑海里应该会有这样几个概念：
1.这是一套全自动化的智能体系。
2.可以帮助开发者更快的发现并修复问题。
3.可以更快的向大家展现最新的ROM变动。
4.每夜版原来是全自动构建并发布的，不需要人去干预操作。
5.每夜版代表当天最新的代码改动，拥有最新的功能。
6.每个刷每夜版的机油都是好机油、小白鼠，在大家的共同努力下，我们的ROM越来越好！
那么现在我们来说说打包党：
之所以要继续扯打包党的问题源于某个月亮（安卓梦工厂）打包大神厚颜无耻的抄袭代码、不尊重作者、把功劳标榜成自己的不说。
还混淆打包党和持续集成的概念，所以我就要站出来科普这个概念。
按照打包党的逻辑，CM和魔趣分别是全球最大和中国最大的打包党：）所以显然不是这样解释和理解的。
打包党每天的日常工作就是从各大开源项目复制粘贴代码，然后比如国外的开源项目并没加中文，就去Google翻译下，润色润色。
通过自己的多台电脑手动编译，再一个一个上传到网盘，进行分享。
最终环节就是复制自己以前发布的帖子，改下日期，改下载地址，改下内容，丢上自己赚钱的预装软件。
然后开始在各大网站、博客、论坛发布自己的ROM。
该版本的主要特点如下：
1.完整搬砖了其它开发者的劳动成果。
2.使用打包党专用标题（省电、稳定、流畅等等）吸引小白用户刷机以获取收益。
3.通过误导性语言让小白觉得打包大神很牛B，所有一切都是打包大神的劳动成果。
日复一日，年复一年的就干这么一件事儿，既没有技术含量，又没有个人技术提高的机会，我都替打包大神的未来着急！
但是对于打包党来说，有钱赚，有小白忽悠，就够了。而且做电脑跟前比去工地搬砖还是要强的。
自己也不用写一行代码，不用测试（有开发者早测试过了）
假惺惺的说自己测试，其实最多就是十款机器试一款能不能开机罢了。
文章总结：
如果某无耻打包大神非要黑CM和MoKee是打包党的话。
请大家记着这样一个概念：
CM和MoKee每天该写代码写代码、该睡觉就睡觉。
到点了电脑自己就会根据当天的开发进度编译最新版本并自动上传到网络，除了开发的时候辛苦点，其它时候我们还是很舒服的。
可是某打包大神每天只能自己去手动编译、手动上传到网盘，手动发帖子吹牛逼，时间都浪费在这上面了。
如果非要定义为打包党，请记住CM和MoKee是全自动打包党，某月亮(安卓梦工厂)打包大神是苦力打包党。：）
说实话他这么黑我们只不过是因为他自己是打包党，所以非要用歪理把我们说成和他一样弱智的级别。
写在最后：
自从打包大神嚣张到不可一世，惹怒众多ROM圈大神之后。
本人业余爱好更多了，目前致力于收拾打包党以维护国内开源环境。
同时不定期发布一些关于安卓系统的科普知识和大家共同学习。
以帮助更多人了解安卓的各种知识、不再被打包党蒙蔽和忽悠。
有一小撮人形容为“撕逼”，撕就撕呗，你们看就是了。
都是浅显明白的道理，看的多了，自然就知道是怎么回事了。
也就不会再被打包大神偷换概念、颠倒是非、倒打一耙的言辞所蒙蔽了。
有关本人更多科普知识可查阅：
热心帮助机油,奖励!
阅读权限255
在线时间 小时
TA的每日心情奋斗 07:43签到天数: 6 天连续签到: 1 天[LV.2]偶尔看看I
----------本评论来自新浪微博：
阅读权限255
在线时间 小时
TA的每日心情奋斗 07:43签到天数: 6 天连续签到: 1 天[LV.2]偶尔看看I
前排瓜子板凳啤酒香烟[拜拜][拜拜][拜拜]
----------本评论来自新浪微博：
阅读权限255
在线时间 小时
TA的每日心情奋斗 07:43签到天数: 6 天连续签到: 1 天[LV.2]偶尔看看I
给小白科普，责任重大
----------本评论来自新浪微博：
阅读权限255
在线时间 小时
TA的每日心情奋斗 07:43签到天数: 6 天连续签到: 1 天[LV.2]偶尔看看I
猪你又来骗经验了[喵喵]
----------本评论来自新浪微博：
阅读权限255
在线时间 小时
TA的每日心情奋斗 07:43签到天数: 6 天连续签到: 1 天[LV.2]偶尔看看I
[顶]写的挺好的 78看到了
----------本评论来自新浪微博：
阅读权限255
在线时间 小时
TA的每日心情奋斗 07:43签到天数: 6 天连续签到: 1 天[LV.2]偶尔看看I
话说一加社区也该发.[顶]
----------本评论来自新浪微博：
阅读权限10
在线时间 小时
该用户从未签到
当前用户组为 整装待发当前积分为 45, 升到下一级还需要 5 点。
哈哈，打包大神被各论坛打成过街老鼠后也只能寄生在163的博客里面啦……
阅读权限255
在线时间 小时
TA的每日心情奋斗 07:43签到天数: 6 天连续签到: 1 天[LV.2]偶尔看看I
现在一加除了魔趣5.0其他rom都不好用
----------本评论来自新浪微博：
阅读权限255
在线时间 小时
TA的每日心情奋斗 07:43签到天数: 6 天连续签到: 1 天[LV.2]偶尔看看I
----------本评论来自新浪微博：
&我们旨在提供一个良好的手机玩家技术交流、资源分享社区，如果有涉及版权的资源,请联系管理员并提供相应的版权证明，我们会进行相应处理。
Powered by Discuz! X3.2
Comsenz Inc.所谓的“打包党”，就是把最热门的App拆包，然后插入一些自己想要分发的东西再重新拼装分发。据说，个10人团队一个月可纯赚150万
&&首推于&14.12.19
浏览(3905)|回应(0)
所谓的“打包党”，就是把最热门的App拆包，然后插入一些自己想要分发的东西再重新拼装分发。插入的东西，可以是广告，也可以是木马、病毒。 据说，个10人团队一个月可纯赚150万元，当这个“打包党”是国内第三大、全世界第六大的智能手机厂商时……酷派：一家有志于做“App打包党”的手机厂商日 21:48文、No-PingWest不久之前被发现的恶意软件“WireLurker”一举终结了苹果没有病毒的神话。这个消息最早来自《纽约时报》的报道，发现WireLurker并为其命名的是一家美国的安全公司，叫Palo Alto Networks。昨天，Palo Alto又证实，酷派手机上有一个后门程序，它们将这个后门程序命名为“CoolReaper”，这个程序能在用户没有授权的情况下，下载、安装、激活、卸载任何应用，甚至能推送假的OTA升级来安装未知应用。更可怕的是，这个后门程序是酷派官方植入的。Palo Alto称，目前仅发现酷派的高端品牌手机“大神”存在CoolReaper后门程序。Palo Alto检查了酷派设备的77个ROM，其中有64个含有后门，41个官方的ROM镜像使用酷派的证书签名，后门的指令控制服务器是和，全都属于酷派所有。严格说来，这个后门程序不是Palo Alto首次发现的，1个月前，有白帽子黑客在乌云漏洞平台发帖表示，“酷派官方静默安装apk功能后台存在高危漏洞”。这名白帽子透露，酷派手机的一个在线管理平台专门负责往用户的手机上悄悄推送和安装应用程序。通过这名白帽子发来的截图可以看到，甚至有专门的业务人员提交申请，在应用程序上插入种种恶意行为，包括推送安装包、激活应用、打开网页链接、拨打电话、伪装插入短信彩信、伪装OTA升级包……当天，酷派就确认了这个“漏洞”，并把它列为了最高漏洞等级。但几天后，酷派给出的回应是，酷派遭遇黑客恶意攻击，流氓推广系黑客篡改服务器后台，与酷派无关。不过，最早报道此事的网站安全牛表示，“（发稿后）自称酷派公关的人员联系到安全牛，声称报道中所使用的恶意推送平台为’内部测试使用’，要求安全牛撤稿。安全牛要求对方出示酷派的正式撤稿函以及声称“报道不实”的相关证据，但到现在为止，安全牛并未收到任何相关证明。”Palo Alto引用了“内部测试使用”这个说法，酷派随后将ROM从2.x升级到了3.0，不过Palo Alto猜测，酷派只是把后门程序的安装包的名字从CP_DMP.apk改成了GoogleGmsFramework.apk，来蒙蔽已经发现这个程序的用户。“之前，由用户抱怨被强制安装了未知软件，还有烦人的推送广告，但都被酷派忽略或删除了。”是不是听起来触目惊心？更有讽刺意味的是，今年9月份，出于安全考虑，上海的公务员系统开始更换加密手机，最终中标的就是酷派。酷派集团副总裁曹井升当时接受媒体采访时介绍，目前市面上主流的第三方安全软件，仅仅是纯软件层面上的保护，无法取得用户手机软件驱动层的管理权限，不能完全杜绝某些恶意软件透过非法途径入侵到软件底层达成非法目的，而“加密手机”则是采用了软件、硬件与系统底层协议结合的安全保护方式。“为了应对Android本身的安全缺陷问题，’加密手机’重构了Android OS并删除其后门程序，植入酷派底层安全架构，安全防护直接管理到软件驱动层，与硬件平台互动控制。”看来酷派的技术是十分过硬的。酷派为什么要这么做？唯一的解释就是牟利。上周，《第一财经日报》报道了国内的“App打包党灰色产业链”，所谓的“App打包”，就是将互联网上最热门的App拆包，然后插入一些自己想要分发的东西再重新拼装，最后把这些“二次打包”的软件重新发布，以此牟利。插入的东西，可以是广告，也可以是木马、病毒。报道称，低门槛、零成本、高收入，使得“二次打包”灰色产业链迅速形成，而一个10人团队一个月可纯赚150万元。当这个“打包党”是国内第三大、全世界第六大的智能手机厂商，收益简直不知道要高到哪里去了。对了，酷派还是国内第一大4G手机厂商。
作者：添加作者
(以上内容来自于网友投稿，如侵犯了您的相关权利，请点击
通知我们，我们将尽快予以删除。)
此投稿已是精品!
不再接受推荐
退出以后，该精选社将不会显示在您的首页
您发布的内容超过140字了，试试投稿功能吧
您发布的不能超过500字了！
您发布的内容已经超过500字了，您只能使用投稿功能发布
别忘了点击发布哦！
发布成功！
成功发布到审核区!
你为什么要举报此投稿？
举报说明：(可选)
成为小编才能给社长推荐哦！
我要当小编
举报成功！
收藏成功！
取消收藏成功！
您还没有认证为原创作者
若您先提交此文章,稍后认证,我们会将其自动添加到您的原创
先投稿稍后认证