Microsoft Store中发现一款伪装成Google相册的恶意软件

Change Web安全 2018年10月16日发布
Favorite收藏

导语:今天在微软商店中发现了一个名为“Google相册”的恶意应用程序,它把自己的来源伪装成了谷歌公司。这个应用程序假装自己是Google相册的一部分,但实际上是一个广告点击器,它可以在Windows 10中重复打开隐藏的广告。

今天在微软商店中发现了一个名为“Google相册”的恶意应用程序,它把自己的来源伪装成了谷歌公司。这个应用程序假装自己是Google相册的一部分,但实际上是一个广告点击器,它可以在Windows 10中重复打开隐藏的广告。

这个免费的“Google相册”声称是由Google LLC创建的,其中包含“一款与您一样聪明的照片应用”的说明。您可以在下面看到它在微软商城页面的图像。

album-by-google-photos-store-page.jpg

由于这是一个广告点击器,所以用户们对它的评论不是很好。其中一篇评论称它是“假应用”,另一篇评论的标题是“这是假的,不要安装”。

1.jpg

下面我们将挖掘并解释广告点击器的工作原理,以及它显示的广告类型。

谷歌相册广告点击器

“Google相册”是一款PWA应用(渐进式网络应用),附带了捆绑式广告点击器。在应用程序运行时,这个广告点击器将重复连接到远程主机并在后台显示广告,这样其开发人员就能够从中获取利益。

广告点击器组件由三个文件夹组成,它们分别是Block Craft 3D.dll,Block Craft 3D.exe和Block Craft 3D.xr. 这三个文件夹都位于应用程序文件夹中。您可以在下面的文件夹的图像中看到这些文件。

2.jpg

当用户通过“Google相册”启动相册时,屏幕会出现Google相册的登录页面。这是来自Google的合法登录窗口,虽然至今为止没有任何证据表明,通过这个窗口登录会使账号被盗,但是仍然不建议使用此应用登录Google相册。

3.jpg

在后台程序中,应用程序将连接到http://11k.online/Ad/constants/9n0wkj6hpz86.json并下载配置文件。这个配置文件(如下所示)包含了有关广告的显示频率、广告页面的地址等设置。配置文件还指示广告可以直接显示在应用中,但BleepingComputer在测试应用时没有看到任何广告。

4.jpg

应用程序读取配置文件后,它将连接到各种“AdBanner”的网址并在后台显示它们。

5.jpg

广告显示的形式也十分狡猾,因为广告是在后台执行的,而不是显示给用户。因此,如果广告具有音频文件,那么用户将听到它但无法看到它来自哪里,这是一种技术支持骗局类型的广告。这会让您感觉的非常怪异,因为您看不到是哪个应用程序正在生成发声。

当测试配置文件中的广告网址时,它显示的广告与我们从广告软件中看到的非常相似。这些广告包括技术支持骗局、大量不必要的Chrome扩展程序,伪造的Java和Flash安装程序、购买流量的博客和其他低质量的网站。

比如,你可以看到应用程序打开的技术支持骗局,它通过声明Windows易受攻击来推动不需要的系统优化程序。

6.jpg

目前,因为“Google相册”假装来自谷歌公司,所以暂时还不清楚它是如何通过微软的审核。此外,由于评论都在声讨这是恶意软件,按理说微软应该触发警报,并且进行更深层次的审核。

BleepingComputer已经联系了微软,询问了关于审查过程的问题,但在本文发表时还没有收到微软的回复。

本文翻译自:https://www.bleepingcomputer.com/news/security/ad-clicker-hiding-as-google-photos-app-found-in-microsoft-store/如若转载,请注明原文地址: http://www.4hou.com/web/13998.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论