微软商店中伪装成Google相册的恶意广告点击器

微软商店中今天发现了一款名为“Album by Google Photos”的恶意应用程序。此应用程序伪装成Google相册的一部分,但实际上是一个广告点击器,可在Windows 10中反复打开隐藏的广告。

这款免费软件声称是由Google LLC创建的,其中包含一条描述说明:“最后,一款与您一样聪明的照片应用”。下图是其在微软商店中的下载页面。

微软商店中伪装成Google相册的恶意广告点击器

微软商店截图

由于这一应用实际上是一款广告点击器,因此该应用的评价不是很好,其中一条评论称其为“假应用程序”,另一条则称“假的,千万别安装。”

微软商店中伪装成Google相册的恶意广告点击器

评论截图

下面我们将深入了解该广告点击器的工作原理及其显示的广告类型。

广告点击器成伪装Google相册专辑

这款Google相册专辑是一款PWA应用(渐进式网络应用),可作为Google相册的前端,但附带捆绑式广告点击器。在应用程序运行时,该广告点击器将反复连接到远程主机并在后台显示广告,以便为开发人员创造收入。

微软商店中伪装成Google相册的恶意广告点击器

该广告点击器的组件由位于此应用程序文件夹中的三个文件组成,分别为Block Craft 3D.dll,Block Craft 3D.exe和Block Craft 3D.xr。您可以在下面的文件夹中发现这些文件。

微软商店中伪装成Google相册的恶意广告点击器

当用户启动Google相册应用时,屏幕会提示他们登录Google相册的账户。这是Google的合法登录界面,虽然从中并不能发现用户账户被盗的迹象,但我们建议用户最好不要使用此应用登录Google相册。

微软商店中伪装成Google相册的恶意广告点击器

Google相册登陆界面

在后台,该应用程序将连接到http://11k.online/Ad/constants/9n0wkj6hpz86.json并下载配置文件。配置文件(如下所示)中包含有关广告的显示频率、广告页面的URL等设置。通过配置文件还可以发现广告可以直接在应用中显示,但研究人员在测试该应用时并没有看到任何广告。

微软商店中伪装成Google相册的恶意广告点击器

部分配置文件信息

当此应用程序读取配置文件后,它将连接到各种“横幅广告(AdBanner)”链接并在后台显示它们。您可以在下面的Fiddler流量中看到该应用程序链接到的每个广告链接。

微软商店中伪装成Google相册的恶意广告点击器

Fiddler流量

在显示广告时,它将在后台执行,而不向用户展示。因此,如果广告中附有音频,就像技术支持诈骗声称的设备受感染那样,用户能听到声音,但无法发现它的来源。当设备提醒用户因技术支持诈骗而感染,用户却无法发现究竟是哪个应用程序在发出警告,仔细想想还是有那么一点儿怪异的感觉。

在测试配置文件中的广告链接网址时,发现其中显示的广告与用户在广告软件中看到的广告非常相似。这些广告包括技术支持诈骗、大量网页推送非必要的Chrome扩展程序、伪装的Java和Flash安装程序、正在购买流量的博客以及其他低质量网站。例如,下面你可以看到该应用程序打开的一个技术支持诈骗,其声称Windows易受攻击,以此推动一个非必要的系统优化程序。

微软商店中伪装成Google相册的恶意广告点击器

目前尚不清楚这款应用程序堂而皇之伪装成Google应用,是如何通过微软的审核流程。此外,由于评论中已经指出这是一款恶意软件,微软应对此引起重视并进一步审核。目前,微软尚未就这一问题进行回复。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/tech/116450.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code