Resumo:

Neste artigo, exploramos a questão de falsificar e armar PDFs certificados. PDFs certificados são projetados para garantir que os destinatários possam confiar na autenticidade e integridade do documento. No entanto, existem vulnerabilidades que podem ser exploradas para modificar o conteúdo de PDFs certificados sem detecção, mesmo que a certificação permaneça válida. Dois ataques específicos, o ataque de anotação do mal (EAA) e o ataque de assinatura sorrateira (SSA), permitem que mudanças não autorizadas sejam feitas no conteúdo visível do PDF, mantendo a aparência de uma certificação válida. Verificou -se que esses ataques afetam um número significativo de espectadores de PDF populares. Um ataque adicional de injeção de código também é mencionado como uma ameaça potencial.

1. Qual é o objetivo dos PDFs certificados?

PDFs certificados têm como objetivo garantir que os destinatários possam confiar na autenticidade e integridade de um documento.

2. Como os PDFs são diferentes de outros formatos de documentos?

PDFs são projetados para serem somente leitura, diferentemente dos formatos editáveis, como documentos do Word.

3. Qual é o significado da proteção de senha em PDFs?

A proteção de senha permite que apenas usuários autorizados acessem o conteúdo de um PDF.

4. Quais são as assinaturas de aprovação em PDFs certificados?

As assinaturas de aprovação validam um estado específico do documento PDF. Se alguma alteração for feita no documento, a assinatura de aprovação se tornará inválida.

5. Como as assinaturas de certificação funcionam em PDFs certificados?

As assinaturas de certificação permitem alterações específicas em um documento assinado sem invalidar a assinatura. O remetente pode especificar os tipos de alterações permitidas para o documento permanecer certificado.

6. As assinaturas digitais podem ser removidas de um pdf?

Não, as assinaturas digitais não podem ser removidas de um pdf, a menos que o assinante tenha o ID digital necessário para assiná -lo.

7. Quais foram os dois ataques descobertos pelos pesquisadores?

Os dois ataques descobertos pelos pesquisadores são o ataque de anotação do mal (EAA) e o ataque de assinatura sorrateira (SSA).

8. Qual é o impacto desses ataques em PDFs certificados?

Esses ataques permitem que o receptor modifique o conteúdo visível de um PDF certificado sem invalidar a certificação. As mudanças feitas pelo atacante não são detectadas pela maioria dos espectadores em PDF.

9. Quantos espectadores em PDF estavam vulneráveis ​​a esses ataques?

Os pesquisadores descobriram que 15 dos 26 espectadores populares em PDF eram vulneráveis ​​ao ataque de anotação do mal (EAA) e 8 eram vulneráveis ​​ao ataque de assinatura sorrateira (SSA).

10. Como os pesquisadores lidaram com as vulnerabilidades?

Os pesquisadores divulgaram com responsabilidade as vulnerabilidades aos fornecedores de espectadores de PDF afetados e os apoiaram para corrigir os problemas.

PDFs certificados falsificando e armado

Isso parece muito melhor. Agora, em apenas 22 linhas, podemos analisar o código ainda mais com facilidade.

Malwarebytes não detectaram um vírus do kit de raiz em PDF

Inscreva -se para uma nova conta em nossa comunidade. É fácil!

Entrar

Já tem uma conta? Entre aqui.

Mais opções de compartilhamento.

Recentemente navegando 0 membros

  • Sem usuários registrados visualizando esta página.

Atividade

Pessoal

  • Voltar
  • Pessoal
  • MalwareBytes para Windows
  • MalwareBytes para Mac
  • MalwareBytes Privacy VPN
  • MalwareBytes Browser Guard
  • Malwarebtyes adwcleaner
  • MalwareBytes para Chromebook
  • MalwareBytes para Android
  • MalwareBytes para iOS

Negócios

  • Voltar
  • Negócios
  • Proteção do terminal
  • Proteção de terminais para servidores
  • Proteção e resposta para terminais
  • Detecção de terminais e resposta para servidores
  • Resposta de incidentes
  • Segurança do endpoint

Módulos de negócios

  • Voltar
  • Módulos de negócios
  • Filtragem DNS
  • Vulnerabilidade e gerenciamento de patches
  • Remediação para Crowdstrike®

Parceiros

Aprender

Começa aqui

Tipo de malware/ataques

Como isso entra no meu computador?

Golpes e elegantes

Apoiar

  • Voltar
  • Apoio pessoal
  • Suporte de negócios
  • Divulgação de vulnerabilidades
  • Crie um novo.

Informação importante

Este site usa cookies – colocamos cookies no seu dispositivo para ajudar a melhorar este site. Você pode ajustar suas configurações de biscoito, caso contrário, assumiremos que você está bem para continuar.

PDFs certificados falsificando e armado

PDFs certificados devem controlar modificações para que os destinatários saibam que não foram adulterados. Nem sempre funciona.

O tipo de arquivo portátil de formato de documento (PDF) é um dos formatos de arquivo mais comuns em uso hoje. Seu valor vem do fato de que os PDFs sempre imprimem da mesma maneira, e que os PDFs devem ser somente leitura (ao contrário de um documento do Word, digamos, que foi projetado para ser fácil de editar). Essa imutabilidade pode ser garantida pela proteção de senha e assinatura digital. Os PDFs são usados ​​extensivamente nas indústrias legais, médicas e imobiliárias, mas também são vistas na educação, pequenas empresas e outros setores. A popularidade do formato realmente decolou quando a Adobe o lançou como um padrão aberto por volta de 2008, o que o desviou do software Acrobat da empresa.

Segurança em PDF

Os arquivos PDF podem ser protegidos por senha para que apenas as pessoas com a senha possam ler o conteúdo do arquivo. No entanto, para quem conhece a senha’S Trivial para remover a senha ou criar um arquivo idêntico que não seja protegido por senha.

PDFs certificados

  • Assinaturas de aprovação testemunham um estado específico do documento PDF. Se o documento for alterado, a assinatura se tornará inválida.
  • Assinaturas de certificação Permitir alterações específicas em um documento assinado sem invalidar a assinatura. Você pode especificar os tipos de alterações permitidas para o documento permanecer certificado. Por exemplo, um remetente pode especificar que uma assinatura de um receptor no campo designado não invalida a certificação. Dessa forma, o remetente pode ter certeza de que, quando receber a cópia assinada, a assinatura foi a única alteração no documento. As assinaturas de certificação podem ser visíveis ou invisíveis.

Assinaturas digitais

Você não pode remover uma assinatura digital de um pdf, a menos que seja você quem a colocou e você tem o ID digital para assiná -lo instalado. Cada vez que um documento é assinado usando um certificado, uma versão assinada do PDF naquele momento é salva com o PDF. Cada versão é salva como somente de apelação e o original não pode ser modificado. Depois que um documento é assinado, você pode exibir uma lista das alterações feitas no documento após a última versão.

Documentos assinados secretamente em mudança

Pesquisadores que trabalham no Ruhr University Bochum (Alemanha), no entanto, apresentaram dois ataques possíveis em que o conteúdo do documento do PDF pode ser alterado pelo receptor de tal maneira que as mudanças são indetectáveis, seja em todas as aplicações de PDF ou em um subconjunto deles. Os nomes que eles deram a esses dois ataques são:

  • Ataque de anotação maligna (EAA)
  • Ataque de assinatura sorrateira (SSA)

Ambas as vulnerabilidades permitem que um invasor altere o conteúdo visível de um documento em PDF, exibindo conteúdo não autorizado sobre o conteúdo certificado. No entanto, a certificação permanece válida e o aplicativo não mostra avisos de que mudanças não autorizadas foram feitas.

O sucesso desses ataques depende do espectador específico do PDF. Esses aplicativos devem alertar o leitor sobre quaisquer mudanças não autorizadas. Os pesquisadores avaliaram 26 espectadores populares em PDF. Eles foram capazes de quebrar a segurança dos documentos certificados em 15 deles com EAA. Oito aplicações estavam vulneráveis ​​à SSA. Apenas dois não foram enganados por nenhum dos ataques. Os pesquisadores divulgaram com responsabilidade esses problemas e apoiaram os fornecedores para consertar as vulnerabilidades.

Um ataque adicional de injeção de código

Uma atualização incremental introduz a possibilidade de estender um PDF anexando novas informações no final do arquivo. O documento original permanece não modificado e um histórico de revisão de todas as alterações do documento é mantido. Um exemplo de uma atualização incremental é a inclusão de uma certificação, assinatura, anotação ou formulários de preenchimento dentro de um PDF.

Somente documentos certificados podem executar o código JavaScript de alto privilégio em produtos Adobe, mas a pesquisa mostra que esse código também é executado se for adicionado como uma atualização incremental permitida. Isso permite que os atacantes Incorporar diretamente código malicioso em um documento certificado. Se você está se perguntando por que isso é ruim, considere que agora estamos em nossa quarta década de macros maliciosos do Microsoft Office.

Níveis de permissão para documentos certificados

O certificador tem a opção de três níveis de permissão diferentes para permitir modificações diferentes:

  • P1: Nenhuma modificação no documento é permitida.
  • P2: preenchendo formulários e assinando digitalmente o documento é permitido.
  • P3: Além de P2, as anotações também são permitidas.

As anotações introduzem um método diferente para uma entrada do usuário, permitindo que um usuário coloque comentários em um documento em PDF, como destaque de texto, strikeouts ou notas pegajosas. As anotações não se limitam a locais predefinidos dentro do PDF e podem ser aplicados em qualquer lugar dentro do documento.

O ataque de anotação do mal (EAA) quebra P3

Os pesquisadores encontraram três tipos de anotações capazes de se esconder e adicionar texto e imagens. Todos os três podem ser usados ​​para modificar furtivamente um documento certificado e injetar conteúdo malicioso. Para executar o ataque, o atacante modifica um documento certificado, incluindo a anotação com o conteúdo malicioso em uma posição do atacante’S escolha. Segundo os pesquisadores, uma vítima teria que inspecionar manualmente a camada de interface do usuário 3 ou clicar na anotação para detectar a modificação. E o atacante pode até bloquear uma anotação para desativar o clique nele.

O ataque de assinatura sorrateira (SSA) quebra P2

A idéia do ataque de assinatura sorrateira é manipular o aparecimento de conteúdo arbitrário dentro do PDF, adicionando elementos de assinatura sobreposição a um documento PDF que é certificado no nível P2. O invasor modifica um documento certificado, incluindo um campo de assinatura com o conteúdo malicioso na posição de um atacante’S escolha. O atacante precisa assinar o documento, mas não precisa possuir uma chave confiável. Um certificado autoassinado para SSA é suficiente.

Vulnerabilidades

Os pesquisadores usaram técnicas adicionais para tornar seus ataques ainda menos fáceis de detectar. O que os ataques revelam é que assinaturas e anotações podem:

  • Ser personalizado para aparecer como um texto/imagens normais acima do conteúdo assinado.
  • Ser tornado indistinguível do conteúdo original.
  • E suas indicações podem ser escondidas das camadas da interface do usuário.

Usando EAA e SSA para injetar JavaScript

Para anotações e campos de assinatura, é possível passar uma referência a um objeto que contém JavaScript. É possível acionar a execução do código ao abrir a página. A vítima é incapaz de impedir isso. O ataque não se limita a ligar para um site, mas pode executar qualquer código JavaScript de alto privilégio. O único requisito é que a vítima confie totalmente no certificado usado para certificar o documento PDF.

Especificação em PDF

Por design, documentos certificados permitem casos de uso complexos e altamente desejados e o diabo aqui parece estar nos detalhes da especificação, que custa 994 páginas! A especificação precisará ser atualizada para resolver os problemas encontrados por esses pesquisadores. Talvez também precise de simplificar, para evitar outras consequências não intencionais.

Para mais detalhes técnicos e a metodologia de pesquisa, aconselhamos os leitores interessados ​​a analisar o artigo original (PDF). Você também poderá descobrir como seu aplicativo favorito lida com esses problemas.

COMPARTILHE ESTE ARTIGO

Os arquivos de malware: arquivos PDF

Os arquivos de malware: arquivos PDF

Adobe Reader tem um histórico de vulnerabilidades e é explorado bastante. Depois que a exploração é bem -sucedida, uma carga útil de malware pode infectar um PC usando privilégios elevados. Por esses motivos, isso’É bom saber como analisar arquivos PDF

Provavelmente, você provavelmente usou o Adobe Reader antes para ler arquivos portáteis de formato de documentos (PDF). O Adobe Reader – Fformerly Acrobat Reader – permanece o programa número um usado para lidar com arquivos PDF, apesar da concorrência de outros.

No entanto, o Adobe Reader tem um histórico de vulnerabilidades e é explorado bastante. Depois que a exploração é bem -sucedida, uma carga útil de malware pode infectar um PC usando privilégios elevados.

Por esses motivos, isso’É bom saber como analisar os arquivos PDF, mas os analistas precisam primeiro de uma compreensão básica de um pdf antes de considerarem maliciosos: aqui está a informação que você’precisará saber.

Um arquivo pdf é essencialmente apenas um cabeçalho, alguns objetos intermediários e depois um trailer. Alguns arquivos PDF não’T tem um cabeçalho ou trailer, mas isso é raro. Os objetos podem ser diretos ou indiretos, e existem oito tipos diferentes de objetos.

PDFObjects

Objetos diretos são valores embutidos no PDF ( /FlatDecode, /Length, etc), enquanto os objetos indiretos têm um ID e número de geração exclusivos (OBJ 20 0, OBJ 7 0, etc). Objetos indiretos são geralmente o que nós’está prestando atenção ao analisar malware em PDF e pode ser referenciado por outros objetos em um arquivo PDF.

Sabendo disso, vamos’s olha para algum malware em pdf. Nós’vou observar um pdf que explora CVE-2010-0188, uma exploração muito comum encontrada na natureza. Para fins de referência, o hash md5 do nosso arquivo de destino é 9BA98B495D186A4452108446C7FAA1AC.

A primeira coisa que precisamos é de ferramentas de análise.

Acho que as ferramentas em PDF de Didier Stevens são algumas das melhores por aí. Stevens’ As ferramentas são todas escritas em Python e estão muito bem documentadas. Para este malware em particular, nós’estará usando Stevens’ Ferramentas, juntamente com algumas outras ferramentas usadas para dessociar e depurar o código.

O PDFID é a primeira ferramenta que usaremos e é um script muito simples que procura palavras -chave suspeitas. Aqui está a saída da varredura do nosso arquivo de destino.

pdfidscan

A saída do PDFID relata que existem nove objetos. A partir desses objetos, existem dois riachos, juntamente com um objeto de acrofórmio. Deixar’s Observe o objeto de acroforma primeiro. Para isso, nós’vou usar uma ferramenta diferente do Stevens chamado PDF-Parser, que analisará mais de perto objetos PDF específicos.

acroforma

O objeto de acroforma referências objeto 21 abaixo. Do objeto 21, vemos o texto “XFA”, que significa XML Forms Architecture, um formato Adobe usado para formulários PDF. Ao lado do XFA, vemos dois objetos mencionados: OBJ 100 e 8. Já que não há OBJ 100, nós’Vou dar uma olhada no OBJ 8 em vez disso.

objeto8

Existem dois objetos disponíveis com diferentes números de geração: OBJ 8 0 e o outro 8 2. O número da geração simplesmente representa o número da versão do objeto e os incrementos sempre que houver várias instâncias de um ID do objeto. No entanto, OBJ 21 REFERÊNCIAS OBJ 8 0, então vamos’s permanecer focado no primeiro.

Aqui é onde as coisas começam a ficar interessantes. Dentro 8 0 vemos que há um fluxo que parece ter um comprimento zero (/comprimento 0). Fluxos são basicamente grandes conjuntos de dados. Com um PDF malicioso, isso geralmente significa que o código de exploração JavaScript está dentro, o que provavelmente levará à execução do código de shell.

Agora que temos nossos olhos em 8 0, devemos investigá-lo ainda mais usando PDF-Parser. Nós’Vou analisar especificamente a saída bruta de 8 0 usando o seguinte comando (a saída foi bastante longa, então enviei para um arquivo de texto):

Python PDF-Parser.py -f -o 8 -w pdf_malware.pdf> objeto8.TXT

E agora nós’Olhe para a saída, que parece conter algum JavaScript. Dentro do script você’verei uma sequência muito longa de personagens. Parece que a duração do fluxo de dados não é 0, como originalmente levou a acreditar.

htmlcodes

Esses valores são referências numéricas de caracteres (NCRs). Em HTML, as referências de personagens a não são permitidas, exceto 9, 10 e 13. Estes são caracteres de controle que não representam um valor imprimível.

Para entendermos o que essas referências de personagem representam, precisamos consultar a tabela ASCII. No entanto, devido à enorme quantidade de referências de caracteres que temos, levaria algum tempo para converter isso manualmente. Vamos precisar de um script ou alguma ferramenta especial para realizar conversões rápidas. Graças à segurança de Kahu, temos uma ferramenta chamada conversor.

O conversor é um programa simples usado para obter dados e converter para/de muitos tipos, e também permite operações bit -netwise. Para este malware em PDF, podemos copiar os ncrs para o conversor e selecionar ‘Decodificar html’.

converterhtml

Sucesso! A caixa de saída revela JavaScript decodificado.

convertidohtml

Agora podemos colar este javascript em um novo arquivo de texto e limpá -lo. No entanto, parece haver um problema depois que colamos o código.

PastedJavaScript

Parece que todo valor na matriz “AR” é impresso em uma linha separada. Com quase 4.000 linhas no novo documento, isso levaria muito tempo para consertar à mão.

A razão para isso é que o NCR 10 representa um feed de linha (LF) e é colocado após cada vírgula na matriz. Se você olhou para a imagem da saída decodificada, ela aparece como uma pequena barra preta, quase parecida com um caráter de cachimbo ou sheffer stroke (“|”).

Para corrigir isso, precisamos apenas fazer uma localização/substituir e remover todas as ocorrências de NCR 10. Posteriormente, apenas repetimos o processo de conversão usando o conversor e colocamos a saída decodificada em um novo arquivo de texto, desta vez embrulhado em tags.

formattedjavaScript

Isso parece muito melhor. Agora, em apenas 22 linhas, podemos analisar o código ainda mais com facilidade.

No entanto, ao ler o código, parece que ainda há algum trabalho para fazer. Parece que o javascript ainda está ligeiramente ofuscado. Daqui, pode ser uma boa ideia depurar o código para entender rapidamente o que’está acontecendo.

Para fazer isso, eu’estou usar o Firebug, um complemento para Mozilla Firefox. Firebug é uma ferramenta multiuso para analisar páginas da web e também permite inspeção e depuração de javascript. Existem outros depuradores de JavaScript disponíveis, mas eu gosto deste.

Depois de adicionar algumas tags, podemos carregar esse arquivo no Firefox e começar a depurar. Fui em frente e defina um ponto de interrupção na última linha e executei o código. Na figura abaixo, pode-se observar que “W” decodifica para “Eval ()”, um comando JavaScript comumente usado em malware para executar o código, enquanto “s” é o próprio código de obscento.

Firebugjavascript

Neste ponto, podemos copiar o código de “s” e colá -lo em outro arquivo de texto. Depois de limpar o código e adicionar alguns comentários, parece que chegamos ao nosso destino final.

FinalJavascript

Um rápido olhar sobre o código revela um spray de heap seguido de um trenó nop. Posteriormente, exploração bem -sucedida, o código de shell incorporado será executado.

heapspray

Ao examinar o código de shell em um editor hexadecimal, podemos ver o site contatado pelo malware, que é hxxp: // [editado]/w.php?f = 0 & e = 4. Se você olhar de perto, também parece que o malware baixado será registrado como uma DLL no host como WPBT.DLL (ligeiramente ofuscado com alguns bytes de lixo).

incorporado

E essa’é tudo o que há para isso. Nós Don’realmente preciso analisar mais o arquivo, pois já podemos entender o que’está acontecer quando o arquivo PDF for executado.

A boa notícia é que isso não afetará os usuários que atualizam o Adobe Reader regularmente, pois a exploração tem como alvo os usuários da versão 8 e 9. Além disso, muitos navegadores da Web como o Google Chrome integraram seus próprios espectadores em PDF para impedir que os usuários explorem.

Para permanecer seguro usando o Adobe Reader, verifique se você possui atualizações automáticas ativadas, veja apenas os PDFs de fontes confiáveis ​​e considere os espectadores alternativos. As explorações da Adobe PDF podem fornecer aos atacantes uma posição no seu PC que pode facilmente levar a infecções por malware, portanto, você também pode considerar soltá -lo do seu PC se você não quiser’t exige.

Fique atento para mais análises sobre documentos maliciosos e outras mídias.

Joshua Cannell é analista de inteligência de malware da MalwareBytes, onde realiza pesquisas e análises aprofundadas sobre ameaças atuais de malware. Ele tem mais de 5 anos de experiência trabalhando com agências de inteligência de defesa dos EUA, onde analisou malware e desenvolveu estratégias de defesa por meio de técnicas de engenharia reversa. Seus artigos sobre o Desempacotado O blog apresenta as últimas notícias em malware, bem como análise técnica completa. Siga -o no Twitter @JoshCannell

COMPARTILHE ESTE ARTIGO

Adware encontrado no Google Play – PDF Reader Servando anúncios de tela cheia

Adware encontrado no Google Play - PDF Reader Servando anúncios de tela cheia

Um leitor de PDF encontrado no Google Play com mais de um milhão de downloads está exibindo de forma agressiva anúncios de tela cheia, mesmo quando o aplicativo não está em uso.

Um leitor de PDF encontrado no Google Play com mais de um milhão de downloads está exibindo de forma agressiva anúncios de tela cheia, mesmo quando o aplicativo não está em uso. Mais especificamente, o leitor é conhecido como Leitor de PDF – Visualizador de documentos, nome do pacote com.documento.pdf.espectador. Como resultado, esse comportamento agressivo o atinge no reino do adware. Ou como chamamos, Android/Adware.Hiddenads.PPMA.

Pegando o adware

Pegar este adware em tempo real é um jogo de instalação e espera. Demora algumas horas para o aplicativo PDF exibir anúncios. Esse longo atraso é para dificultar o rastreamento de qual aplicativo está causando os anúncios. Por exemplo, anúncios de tela cheia exibidos imediatamente após a instalação provavelmente resultariam em uma desinstalação rápida. Com isso em mente, conectei meu telefone de teste ao meu laptop com Monitor de dispositivo Android correndo. Entre outras ferramentas, Monitor de dispositivo Android inclui Logcat que registra todas as atividades em um dispositivo móvel Android. Eu então instalei Leitor de PDF – Visualizador de documentos, nome do pacote com.documento.pdf.espectador, diretamente do Google Play. Assim, meu jogo de espera começa na manhã de 22 de agosto e .

Para minha surpresa, às 15:04, ouvi meu telefone de teste um charme. Minha expectativa de testes anteriores é que leva mais tempo antes que um anúncio seja exibido. Antes de desbloquear a tela, verifiquei meu Logcat Histórico.

A palavra -chave é ‘COMEÇAR’ no log. O que começa é um anúncio sdk. Desta vez, do leitor de PDF’s Especial AD SDK, com.documento.pdf.espectador.Publicidades.Ppmatividade. Desbloqueando a tela de bloqueio, outro log importante vem.

08-22 15:04:56.318: I/ActivityManager (765): exibido com.documento.pdf.espectador/.Publicidades.Ppmatividade: +942ms

De fato, olhando para o telefone, há um anúncio de tela inteira “exibido.”

Logo depois, outro anúncio SDK começa nos troncos.

Mais uma vez, outro anúncio exibe. Desta vez, é um anúncio de vídeo.

08-22 15:05:34.927: I/ActivityManager (765): exibido com.documento.pdf.Visualizador/com.Facebook.Publicidades.AudienceNetworkActivity: +555ms

Após os anúncios iniciais, eles vêm com mais frequência. Cada vez, o início dos anúncios é significado por um charme que soa no dispositivo móvel. A partir de agora, um anúncio de tela inteira está esperando. Imediatamente após o primeiro anúncio é um anúncio de vídeo.

Vestir’t culpar os anúncios sdks

O PDF Reader usa uma variedade de sdks de anúncios comuns e seu próprio anúncio sdk. Os anúncios do Facebook são mostrados no registro acima, mas também o observamos usando o Applevin junto com outros. Além disso, ele usa um anúncio interno contido em com.documento.pdf.espectador.Publicidades.Ppmatividade. Embora o uso desses anúncios comuns seja mostrado exibindo anúncios, não é necessariamente culpa deles. O problema é exibir anúncios onde eles não devem ser exibidos. Qualquer um desses anúncios dentro do aplicativo, Whiling usando o aplicativo, é um jogo justo. Além disso, ad sdk’S como Applevin e anúncios do Facebook são necessários para manter os aplicativos livres na Play Store. Somente quando os anúncios começam a exibir fora do aplicativo aleatoriamente que isso se qualifica como adware. É o aplicativo PDF Reader que está usando indevidamente esses anúncios.

Nem todos os leitores de PDF são iguais

Existem muitos bons leitores de PDF no Google Play. No entanto, este tem algumas esquisitices sinalizando bandeiras vermelhas diretamente do Google Play Store Descrição.

Note o Maduro 17+ Classificação do Conteúdo. Por que motivo um leitor de PDF precisa de uma classificação madura? Outra pista que algo não está certo é o desenvolvedor’s nome de Jogos de fada. Eu diverso os tipos de aplicativos que você fornece, mas o nome estranho do desenvolvedor para qualquer outra coisa que não seja aplicativos de jogo.

Estou infectado?

Se você está pensando consigo mesmo, “Eu tenho um leitor de PDF instalado, estou infectado!?” Aqui estão algumas coisas para verificar. Você está recebendo anúncios de tela cheia? Se sim, você tem um ícone que se parece com isso?

Se o fizer, você pode desinstalar de Informações sobre aplicativos.

Com mais facilidade, você pode instalar malwarebytes para Android e usar nosso livre Scanner para remover.

Outro desliza

Pelo que podemos dizer de versões anteriores de Leitor de PDF – Visualizador de documentos, existe desde novembro de 2021. Cada versão posteriormente serve anúncios como a versão mais recente do Google Play. Embora não possamos verificar se existia no Google Play desde 2021, é provável que. Se você tiver muitos aplicativos instalados no seu dispositivo móvel, este pode muito difícil de rastrear. Outro motivo para não confiar cegamente, você está seguro ao instalar exclusivamente no Google Play. Mesmo que a Play Store seja de longe o lugar mais seguro para instalar aplicativos no Android, ele também pode culpar de tempos em tempos. Ter um scanner anti-malware, ou anti-adjudicados neste caso, é uma boa ideia. Fique seguro lá fora!

Informações do aplicativo

Nome do pacote: com.documento.pdf.espectador

Nome do aplicativo: PDF Reader – Documents Viewer

Desenvolvedor: jogos de fadas

Google Play URL: https: // reproduzir.Google.com/store/Apps/Detalhes?id = com.documento.pdf.espectador

COMPARTILHE ESTE ARTIGO