요약:

이 기사에서는 인증 된 PDFS 위조 및 무기화 문제를 탐구합니다. 인증 된 PDF는 수신자가 문서의 진위와 무결성을 신뢰할 수 있도록 설계되었습니다. 그러나 인증이 유효하더라도 인증 된 PDF의 내용을 수정하기 위해 악용 될 수있는 취약점이 있습니다. 두 가지 특정 공격, EAA (Evil Annotation Attack)와 SAS (Sincy Signature Attack)는 유효한 인증의 모양을 유지하면서 PDF의 가시 콘텐츠에 대한 무단 변경을 허용합니다. 이러한 공격은 상당수의 인기있는 PDF 시청자에게 영향을 미치는 것으로 밝혀졌습니다. 추가 코드 주입 공격도 잠재적 위협으로 언급됩니다.

1. 인증 된 PDF의 목적은 무엇입니까??

인증 된 PDF는 수령인이 문서의 진위와 무결성을 신뢰할 수 있도록하기위한 것입니다.

2. PDF는 다른 문서 형식과 어떻게 다릅니다?

PDF는 Word Documents와 같은 편집 가능한 형식과 달리 읽기 전용으로 설계되었습니다.

삼. PDF에서 암호 보호의 중요성은 무엇입니까??

암호 보호는 승인 된 사용자 만 PDF의 콘텐츠에 액세스 할 수 있습니다.

4. 인증 된 PDF의 승인 서명은 무엇입니까??

승인 서명 PDF 문서의 특정 상태를 확인합니다. 문서를 변경하면 승인 서명이 유효하지 않습니다.

5. 인증 서명이 인증 된 PDF에서 어떻게 작동합니까??

인증 서명은 서명을 무효화하지 않고 서명 된 문서를 구체적으로 변경할 수 있습니다. 발신자는 문서가 인증 된 상태로 허용되는 변경 유형을 지정할 수 있습니다.

6. PDF에서 디지털 서명을 제거 할 수 있습니다?

아니요, 서명자가 서명하는 데 필요한 디지털 ID가 없으면 PDF에서 디지털 서명을 제거 할 수 없습니다.

7. 연구원들이 발견 한 두 가지 공격은 무엇입니까??

연구원들이 발견 한 두 가지 공격은 EAA (Evil Annotation Attack)와 SAS (Sincy Signature Attack)입니다.

8. 인증 된 PDF에 대한 이러한 공격의 영향은 무엇입니까??

이러한 공격을 통해 수신자는 인증을 무효화하지 않고 인증 된 PDF의 가시 콘텐츠를 수정할 수 있습니다. 공격자의 변경 사항은 대부분의 PDF 시청자에 의해 감지되지 않습니다.

9. 이 공격에 취약한 PDF 시청자는 몇 명입니까??

연구원들은 인기있는 PDF 시청자 중 26 명 중 15 명은 EAA (Evil Annotation Attack)에 취약했으며 8 명은 SAS (Sincy Signature Attack)에 취약하다는 것을 발견했습니다.

10. 연구원들은 어떻게 취약점을 처리 했습니까??

연구원들은 영향을받는 PDF 뷰어 공급 업체에 취약점을 책임감있게 공개하고 문제 해결에 지원했습니다.

위조 및 무기 인증 인증 PDF

훨씬 좋아 보인다. 이제 22 줄만으로도 코드를 쉽게 분석 할 수 있습니다.

Malwarebytes는 PDF 루트 키트 바이러스를 감지하지 못했습니다

커뮤니티에서 새 계정에 가입하십시오. 그것은 간단합니다!

로그인

이미 계정이 있습니다? 여기에 로그인하십시오.

기타 공유 옵션.

최근에 0 명을 탐색합니다

  • 이 페이지를 보는 등록 된 사용자가 없습니다.

활동

개인의

  • 뒤쪽에
  • 개인의
  • Windows 용 MalwareBytes
  • Mac 용 Malwarebytes
  • Malwarebytes 개인 정보 vpn
  • Malwarebytes 브라우저 가드
  • Malwarebtyes adwcleaner
  • 크롬 북의 말장로
  • Android 용 Malwarebytes
  • iOS 용 MalwareBytes

사업

  • 뒤쪽에
  • 사업
  • 엔드 포인트 보호
  • 서버의 엔드 포인트 보호
  • 엔드 포인트 보호 및 응답
  • 서버의 엔드 포인트 감지 및 응답
  • 사고 대응
  • 엔드 포인트 보안

비즈니스 모듈

  • 뒤쪽에
  • 비즈니스 모듈
  • DNS 필터링
  • 취약성 및 패치 관리
  • CrowdStrike®의 개선

파트너

배우다

여기서 시작하십시오

맬웨어/공격 유형

내 컴퓨터에 어떻게 들어가나요??

사기와 그리프트

지원하다

  • 뒤쪽에
  • 개인 지원
  • 사업 지원
  • 취약성 공개
  • 새로운 창조.

중요한 정보

이 사이트는 쿠키를 사용합니다 – 우리는이 웹 사이트를 개선하기 위해 쿠키를 장치에 배치했습니다. 쿠키 설정을 조정할 수 있습니다. 그렇지 않으면 계속 해서도 괜찮다고 생각합니다.

위조 및 무기 인증 인증 PDF

인증 된 PDF는 수취인이 변조되지 않았다는 것을 알 수 있도록 수정을 제어해야합니다. 항상 작동하지는 않습니다.

휴대용 문서 형식 (PDF) 파일 유형은 오늘날 사용되는 가장 일반적인 파일 형식 중 하나입니다. 값은 PDF가 항상 같은 방식으로 인쇄하고 PDFS가 읽기 전용이어야한다는 사실에서 비롯됩니다 (편집하기 쉽도록 설계된 Word 문서와 달리). 이 불변성은 암호 보호 및 디지털 서명으로 보장 될 수 있습니다. PDF는 법률, 의료 및 부동산 산업에서 광범위하게 사용되지만 교육, 소기업 및 기타 부문에서도 볼 수 있습니다. Adobe가 2008 년경 공개 표준으로 출시했을 때 형식의 인기는 실제로 시작되었으며 회사의 Acrobat 소프트웨어에서이를 개방 표준으로 출시했습니다.

PDF 보안

PDF 파일은 비밀번호를 보호 할 수 있으므로 암호가있는 사람 만 파일의 내용을 읽을 수 있습니다. 그러나 암호를 아는 사람이라면 누구나’S 비밀번호를 제거하거나 비밀번호가 보호되지 않은 동일한 파일을 생성하려면 사소한.

인증 된 PDF

  • 승인 서명 PDF 문서의 특정 상태를 증언하십시오. 문서가 변경되면 서명이 유효하지 않습니다.
  • 인증 서명 서명을 무효화하지 않고 서명 된 문서를 구체적으로 변경할 수 있습니다. 문서가 인증 된 상태로 유지할 수있는 변경 유형을 지정할 수 있습니다. 예를 들어, 발신자는 지정된 필드의 수신자의 서명이 인증을 무효화하지 않도록 지정할 수 있습니다. 이렇게하면 발신자는 서명 된 사본을 받으면 서명이 문서의 유일한 변경 사항임을 확신 할 수 있습니다. 인증 서명은 보이거나 보이지 않을 수 있습니다.

디지털 서명

PDF에서 디지털 서명을 제거 할 수없고 설치 한 서명을위한 디지털 ID가 없다면. 인증서를 사용하여 문서에 서명 할 때마다 당시 서명 된 PDF 버전이 PDF와 함께 저장됩니다. 각 버전은 부록 전용으로 저장되며 원본을 수정할 수 없습니다. 문서에 서명 한 후 마지막 버전 이후 문서의 변경 사항 목록을 표시 할 수 있습니다.

비밀리에 서명 된 문서를 변경합니다

그러나 Ruhr University Bochum (Germany)에서 일하는 연구원들은 PDF 문서의 내용을 모든 PDF 응용 프로그램 또는 그 하위 세트에서 변경할 수없는 방식으로 수신자에 의해 PDF 문서의 내용을 변경할 수있는 두 가지 가능한 공격을 제시했습니다. 그들이이 두 공격에 준 이름은 다음과 같습니다

  • 사악한 주석 공격 (EAA)
  • 몰래 시그니처 공격 (SSA)

두 가지 취약점 모두 공격자가 인증 된 콘텐츠에 대한 무단 콘텐츠를 표시하여 PDF 문서의 가시 콘텐츠를 변경할 수 있습니다. 그러나 인증은 유효하며 응용 프로그램은 무단 변경 사항이 이루어 졌다는 경고가 없습니다.

이러한 공격의 성공은 특정 PDF 뷰어에 따라 다릅니다. 이러한 응용 프로그램은 독자에게 무단 변경 사항을 경고해야합니다. 연구원들은 인기있는 PDF 시청자 26 명을 평가했습니다. 그들은 EAA와 함께 15 명에서 인증 된 문서의 보안을 깨뜨릴 수있었습니다. 8 개의 응용 프로그램이 SSA에 취약했습니다. 두 사람만이 공격에 속지 않았다. 연구원들은 이러한 문제를 책임감있게 공개하고 공급 업체가 취약점을 해결하도록 지원했습니다.

추가 코드 주입 공격

증분 업데이트는 파일 끝에서 새 정보를 추가하여 PDF를 확장 할 가능성을 소개합니다. 원본 문서는 수정되지 않은 상태로 유지되며 모든 문서 변경의 개정 내역이 유지됩니다. 증분 업데이트의 예는 인증, 서명, 주석 또는 PDF 내에 채우는 양식을 포함시키는 것입니다.

인증 된 문서 만 Adobe Products에서 높은 권한이있는 JavaScript 코드를 실행할 수 있지만, 연구 결과에 따르면 허용 증분 업데이트로 추가되면 해당 코드가 실행됩니다. 이를 통해 공격자가 가능합니다 악성 코드를 인증 된 문서에 직접 포함시킵니다. 왜 나쁜지 궁금하다면, 우리는 지금 우리가 40 년 동안 악의적 인 Microsoft Office Macros에 들어갔다고 생각하십시오.

인증 된 문서의 권한 수준

인증자는 다른 수정을 허용하기 위해 세 가지 다른 권한 수준을 선택할 수 있습니다

  • P1 : 문서의 수정이 허용되지 않습니다.
  • P2 : 양식 작성 및 문서에 디지털 서명이 허용됩니다.
  • P3 : P2 외에도 주석이 허용됩니다.

주석은 사용자가 텍스트 강조 표시, 스트라이크 아웃 또는 스티커 메모와 같은 PDF 문서에 비고를 넣을 수 있도록하여 사용자 입력에 대한 다른 방법을 소개합니다. 주석은 PDF 내에서 사전 정의 된 장소로 제한되지 않으며 문서 내 어디에서나 적용 할 수 있습니다.

EAA (Evil Annotation Attack)는 P3을 끊습니다

연구원들은 텍스트와 이미지를 숨기고 추가 할 수있는 세 가지 유형의 주석을 발견했습니다. 세 가지 모두 인증 된 문서를 은밀하게 수정하고 악의적 인 콘텐츠를 주입하는 데 사용될 수 있습니다. 공격을 실행하기 위해 공격자는 공격자의 위치에 악의적 인 컨텐츠에 주석을 포함하여 인증 된 문서를 수정합니다’선택. 연구원에 따르면, 피해자는 UI-Layer 3을 수동으로 검사하거나 주석을 클릭하여 수정을 감지해야합니다. 그리고 공격자는 주석을 고정하여 클릭을 비활성화 할 수도 있습니다.

SA (Sincy Signature Attack)는 P2를 깨뜨립니다

교활한 시그니처 공격에 대한 아이디어는 PDF 내에서 인증 된 PDF 문서에 오버레이 서명 요소를 추가하여 PDF 내에서 임의의 컨텐츠의 모양을 조작하는 것입니다. 공격자는 공격자의 위치에 악의적 인 컨텐츠가있는 서명 필드를 포함하여 인증 된 문서를 수정합니다’선택. 그런 다음 공격자는 문서에 서명해야하지만 신뢰할 수있는 키를 소유 할 필요는 없습니다. SSA에 대한 자체 서명 인증서로 충분합니다.

취약성

연구원들은 추가 기술을 사용하여 공격을 쉽게 감지 할 수 있도록했습니다. 공격이 드러내는 것은 서명과 주석이 다음과 같습니다

  • 서명 된 내용 위의 일반 텍스트/이미지로 표시되도록 사용자 정의하십시오.
  • 원래 콘텐츠와 구별 할 수 없게됩니다.
  • 그리고 그들의 징후는 UI 층에서 숨겨 질 수 있습니다.

EAA 및 SSA를 사용하여 JavaScript를 주입합니다

주석 및 서명 필드의 경우 JavaScript가 포함 된 개체에 대한 참조를 전달할 수 있습니다. 페이지를 열 때 코드 실행을 트리거 할 수 있습니다. 피해자는 이것을 막을 수 없습니다. 이 공격은 웹 사이트 호출에만 국한되지 않지만 높은 권한이있는 JavaScript 코드를 실행할 수 있습니다. 유일한 요구 사항은 피해자가 PDF 문서를 인증하는 데 사용되는 인증서를 완전히 신뢰한다는 것입니다.

PDF 사양

설계 별, 인증 된 문서는 복잡하고 고도로 원하는 사용 사례를 가능하게하며 여기에서 악마는 994 페이지로 실행되는 사양 세부 사항에있는 것 같습니다! 이 연구자들이 발견 한 문제를 해결하기 위해 사양을 업데이트해야합니다. 의도하지 않은 결과를 피하기 위해 단순화가 필요할 수도 있습니다.

더 많은 기술적 세부 사항과 연구 방법론을 위해서는 관심있는 독자들이 원본 논문 (PDF)을 살펴 보라고 권합니다. 또한 좋아하는 응용 프로그램이 이러한 문제를 어떻게 처리하는지 알아낼 수 있습니다.

이 기사를 공유하십시오

맬웨어 아카이브 : PDF 파일

맬웨어 아카이브 : PDF 파일

Adobe Reader는 취약점의 역사를 가지고 있으며 꽤 악용됩니다. 악용이 성공하면 맬웨어 페이로드는 높은 권한을 사용하여 PC를 감염시킬 수 있습니다. 이러한 이유로’PDF 파일을 분석하는 방법을 아는 것이 좋습니다

휴대용 문서 형식 (PDF) 파일을 읽기 전에 Adobe Reader를 사용했을 가능성이 있습니다. Adobe Reader (전적으로 Acrobat Reader) 다른 사람들과의 경쟁에도 불구하고 PDF 파일을 처리하는 데 사용되는 최고의 프로그램을 중재합니다.

그러나 Adobe Reader는 취약점의 역사를 가지고 있으며 꽤 악용됩니다. 악용이 성공하면 맬웨어 페이로드는 높은 권한을 사용하여 PC를 감염시킬 수 있습니다.

이러한 이유로’PDF 파일을 분석하는 방법을 아는 것이 좋지만 분석가는 먼저 PDF가 악의적 인 것으로 간주하기 전에 PDF에 대한 기본적인 이해가 필요합니다. 여기에 정보가 있습니다’알아야합니다.

PDF 파일은 본질적으로 헤더, 중간에 일부 객체 및 트레일러입니다. 일부 PDF 파일은하지 않습니다’헤더 또는 트레일러가 있지만 드문 경우가 있습니다. 객체는 직접적이거나 간접적 일 수 있으며 8 가지 유형의 객체가 있습니다.

pdfobjects

직접 객체는 pdf ( /flatdecode, /length 등)의 인라인 값입니다. 간접 객체는 고유 한 ID 및 생성 번호 (OBJ 20 0, OBJ 7 0 등)를 가지고 있습니다. 간접 대상은 보통 우리의 것입니다’PDF 맬웨어를 분석 할 때주의를 기울이고 PDF 파일의 다른 개체에서 참조 할 수 있습니다.

그것을 알고,하자’s 일부 PDF 맬웨어를 살펴보십시오. 우리’CVE-2010-0188을 이용하는 PDF를 관찰 할 것입니다. 참조 목적 상, 대상 파일의 MD5 해시는 9BA98B495D186A4452108446C7FAA1AC입니다.

가장 먼저 필요한 것은 분석 도구입니다.

Didier Stevens의 PDF 도구가 최고라고 생각합니다. 스티븐스’ 도구는 모두 파이썬으로 작성되었으며 매우 잘 문서화되어 있습니다. 이 특정 맬웨어를 위해, 우리’Stevens를 사용합니다’ 도구와 함께 도구와 함께 사용되는 다른 도구.

PDFID는 우리가 사용할 첫 번째 도구이며 의심스러운 키워드를 검색하는 매우 간단한 스크립트입니다. 다음은 대상 파일의 스캔에서 출력입니다.

PDFIDSCAN

PDFID의 출력은 9 개의 개체가 있다고보고합니다. 그 물체에서 두 개의 스트림과 아크로 형 물체가 있습니다. 허락하다’s 아크로 형 물체를 먼저 관찰하십시오. 이것을 위해, 우리’PDF-Parser라는 Stevens의 다른 도구를 다시 사용하겠습니다. 특정 PDF 객체를 자세히 살펴 보겠습니다.

acroform

Acroform 객체는 아래의 객체 21을 참조합니다. Object 21에서 PDF 양식에 사용되는 Adobe 형식 인 XML 양식 아키텍처를 나타내는 텍스트 “XFA”를 볼 수 있습니다. XFA 옆에 우리는 두 개의 객체가 참조 된 것을 볼 수 있습니다 : OBJ 100과 8. OBJ 100이 없기 때문에 우리’대신 OBJ 8을 살펴보십시오.

객체 8

다른 생성 번호로 사용할 수있는 두 가지 객체가 있습니다 : OBJ 8 0과 다른 8 2. 생성 번호는 단순히 객체의 버전 번호를 나타내고 하나의 개체 ID의 여러 인스턴스가있을 때마다 증가합니다. 그러나 OBJ 21은 OBJ 8 0을 참조하십시오’S는 첫 번째에 집중합니다.

여기가 흥미로워지기 시작하는 곳이 있습니다. 내부 8 0 우리는 제로 길이 (/길이 0) 인 것처럼 보이는 스트림이 있음을 알 수 있습니다. 스트림은 기본적으로 큰 데이터 세트입니다. 악의적 인 PDF를 사용하면 일반적으로 JavaScript Exploit 코드가 내부에 있음을 의미하므로 Shellcode가 실행 될 수 있습니다.

이제 우리는 8 0을 시선을 사로 잡았으므로 pdf-parser를 사용하여 더 조사해야합니다. 우리’다음 명령을 사용하여 8 0의 원시 출력을 구체적으로 살펴 보겠습니다 (출력은 상당히 길어서 텍스트 파일로 보냈습니다)

Python PDF-Parser.py -f -o 8 -w pdf_malware.pdf> object8.txt

그리고 지금 우리’ll javaScript를 포함하는 것으로 보이는 출력을보십시오. 스크립트 내부에서’매우 긴 캐릭터 시퀀스를 볼 수 있습니다. 원래 믿는 것처럼 데이터 스트림의 길이가 0이 아닌 것 같습니다.

htmlcodes

이 값은 숫자 문자 참조 (NCRS)입니다. HTML에서는 9, 10 및 13을 제외하고 문자 참조가 허용되지 않습니다. 이들은 인쇄용 값을 나타내지 않는 제어 문자입니다.

이 캐릭터 참조가 나타내는 것을 이해하려면 ASCII 테이블과 상담해야합니다. 그러나 우리가 가진 캐릭터 참조의 양이 있기 때문에 수동으로 변환하는 데 약간의 시간이 걸립니다. 빠른 변환을 수행하려면 스크립트 나 특별 도구가 필요합니다. Kahu Security 덕분에 Converter라는 도구가 있습니다.

컨버터는 데이터를 가져 와서 여러 유형으로 또는 전환하는 데 사용되는 간단한 프로그램이며 비트 동작도 허용합니다. 이 PDF 맬웨어의 경우 NCR을 변환기에 복사하고 선택할 수 있습니다 ‘HTML을 디코딩합니다’.

converterhtml

성공! 출력 상자에는 디코딩 된 JavaScript가 나타납니다.

ConvertedHtml

이제이 JavaScript를 새 텍스트 파일에 붙여 넣고 정리할 수 있습니다. 그러나 코드를 붙여 넣으면 문제가있는 것 같습니다.

PastedJavaScript

“AR”배열의 모든 값이 별도의 줄에 인쇄되는 것처럼 보입니다. 새 문서에 거의 4,000 줄이 있으므로 손으로 수정하는 데 너무 오래 걸릴 것입니다.

그 이유는 NCR 10이 선 피드 (LF)를 나타내고 배열의 모든 쉼표 이후에 배치되기 때문입니다. 디코딩 된 출력의 이미지를 보면 실제로 파이프 나 셰퍼 스트로크 문자와 거의 비슷한 작은 검은 색 막대로 나타납니다 ( “|”).

이 문제를 해결하려면 NCR 10의 모든 발생을 찾거나 교체하고 제거하면됩니다. 그 후 변환기를 사용하여 변환 프로세스를 반복하고 디코딩 된 출력을 새 텍스트 파일에 넣습니다. 이번에는 태그로 싸여 있습니다.

형식화 된 JavaScript

훨씬 좋아 보인다. 이제 22 줄만으로도 코드를 쉽게 분석 할 수 있습니다.

그러나 코드를 읽을 때는 여전히해야 할 일이 있습니다. JavaScript가 여전히 약간 난독 화 된 것 같습니다. 여기에서 코드를 디버깅하여 무엇을 신속하게 이해하는 것이 좋습니다’진행되고 있습니다.

그렇게하기 위해, 나는’m Mozilla Firefox의 애드온 인 Firebug를 사용하려고합니다. FireBug는 웹 페이지 분석을위한 다목적 도구이며 JavaScript의 검사 및 디버깅도 가능합니다. 사용 가능한 다른 JavaScript 디버거가 있지만 나는 이것을 좋아합니다.

일부 태그를 추가 한 후이 파일을 Firefox에로드하고 디버깅을 시작할 수 있습니다. 나는 마지막 줄에 중단 점을 설정하고 코드를 실행했습니다. 아래 그림에서 “w”는 “vall ()”으로 디코딩하는 것을 알 수 있습니다. “s evalwary에서 일반적으로 사용되는 JavaScript 명령은 코드를 실행하는 반면”s “는 de-obfuscated 코드 자체입니다.

FireBugjavaScript

이 시점에서 코드를 “S”에서 복사하여 다른 텍스트 파일에 붙여 넣을 수 있습니다. 코드를 정리하고 의견을 추가 한 후 최종 목적지에 도착한 것으로 보입니다.

FinalJavaScript

코드를 빠르게 살펴보면 힙 스프레이와 NOP 썰매가 나타납니다. 성공적인 악용 후에 포함 된 쉘 코드가 실행됩니다.

힙 스프레이

HEX 편집기에서 ShellCode를 검사 할 때, 우리는 hxxp : // [편집]/w 인 맬웨어가 연락 한 웹 사이트를 볼 수 있습니다.PHP?f = 0 & e = 4. 자세히 살펴보면 다운로드 된 맬웨어가 wpbt로 호스트에서 DLL으로 등록됩니다.DLL (일부 정크 바이트로 약간 난독 화).

EmbeddedShellCode

그리고 그’s 전부가 있습니다. 우리는 돈입니다’우리는 이미 무엇을 이해할 수 있으므로 더 이상 파일을 분석해야합니다’PDF 파일이 실행될 때 발생합니다.

좋은 소식은이 방법은 Accureit이 버전 8 및 9의 사용자 만 대상으로하기 때문에 Adobe Reader를 정기적으로 업데이트하는 사용자에게 영향을 미치지 않는다는 것입니다. 또한 Google Chrome과 같은 많은 웹 브라우저가 자체 PDF 시청자를 통합하여 사용자가 악용을 방지했습니다.

Adobe Reader를 사용하여 안전하게 유지하려면 자동 업데이트가 활성화되어 있는지 확인하고 신뢰할 수있는 소스에서 PDF를보고 대체 시청자를 고려하십시오. Adobe PDF Exploits는 공격자에게 PC에서 발판을 제공하여 악성 코드 감염으로 쉽게 발생할 수 있으므로 DON이 있으면 PC에서 완전히 삭제하는 것을 고려할 수도 있습니다’t가 필요합니다.

악의적 인 문서 및 기타 미디어에 대한 자세한 분석을 위해 계속 지켜봐 주시기 바랍니다.

Joshua Cannell은 Malwarebytes의 Malware Intelligence 분석가로서 현재 맬웨어 위협에 대한 연구 및 심층 분석을 수행합니다. 그는 리버스 엔지니어링 기술을 통해 맬웨어를 분석하고 방어 전략을 개발 한 미국 국방 정보 기관과 5 년 이상의 경험을 가지고 있습니다. 그의 기사 포장 풀기 블로그는 맬웨어의 최신 뉴스와 전장 기술 분석 기능. 트위터 @joshcannell에서 그를 팔로우하십시오

이 기사를 공유하십시오

Google Play에서 찾은 Adware – PDF 리더가 전체 화면 광고를 제공합니다

Google Play에서 찾은 Adware - PDF 리더가 전체 화면 광고를 제공합니다

백만 개가 넘는 다운로드로 Google Play에서 발견 된 PDF 리더는 앱이 사용되지 않더라도 전체 화면 광고를 적극적으로 표시하고 있습니다.

백만 개가 넘는 다운로드로 Google Play에서 발견 된 PDF 리더는 앱이 사용되지 않더라도 전체 화면 광고를 적극적으로 표시하고 있습니다. 보다 구체적으로, 독자는 다음으로 알려져 있습니다 PDF 리더 – 문서 뷰어, 패키지 이름 com.문서.PDF.뷰어. 결과적 으로이 공격적인 행동은 애드웨어 영역에 착륙합니다. 또는 우리가 부르는대로 Android/Adware.히데나드.PPMA.

애드웨어를 잡습니다

이 애드웨어를 실시간으로 잡는 것은 설치 및 대기 게임입니다. PDF 앱에 광고를 표시하기까지 몇 시간이 걸립니다. 이 긴 지연은 광고를 유발하는 앱을 추적하기가 더 어려워지는 것입니다. 예를 들어, 설치 직후에 표시되는 전체 화면 광고는 빠르게 제거 할 수 있습니다. 이것을 염두에두고 테스트 전화를 노트북에 연결했습니다 안드로이드 장치 모니터 달리기. 다른 도구 중에서도, 안드로이드 장치 모니터 포함 logcat Android 모바일 장치의 모든 활동을 기록합니다. 그런 다음 설치했습니다 PDF 리더 – 문서 뷰어, 패키지 이름 com.문서.PDF.뷰어, Google Play에서 직접. 따라서 대기 게임은 8 월 22 일 아침에 시작됩니다 .

놀랍게도 15:04에 테스트 전화기가 매력을 들었습니다. 이전 테스트에 대한 나의 기대는 광고가 표시되기까지 더 오래 걸리는 것입니다. 화면을 잠금 해제하기 전에 확인했습니다 logcat 로그.

키워드는입니다 ‘시작’ 로그에서. 시작하는 것은 광고 SDK입니다. 이번에는 PDF 리더로부터’S 특별한 사내 광고 SDK, com.문서.PDF.뷰어.광고.ppmactivity. 잠금 화면 잠금 해제, 또 다른 중요한 로그가 들어옵니다.

08-22 15:04:56.318 : I/ActivityManager (765) : 표시 COM.문서.PDF.뷰어/.광고.ppmactivity : +942ms

실제로 전화를 보면 전체 화면 광고가 있습니다 “표시.”

얼마 지나지 않아 또 다른 광고 SDK가 로그에서 시작됩니다.

다시 한번, 다른 광고가 표시됩니다. 이번에는 비디오 광고입니다.

08-22 15:05:34.927 : I/ActivityManager (765) : 표시 COM.문서.PDF.뷰어/com.페이스 북.광고.AudiencenetworkActivity : +555ms

초기 광고 후에는 더 자주옵니다. 매번 광고 시작은 모바일 장치의 매력으로 표시됩니다. 따라서 전체 화면 광고가 기다리고 있습니다. 첫 번째 광고 직후에 비디오 광고가 있습니다.

두목’t ad sdks를 비난하십시오

PDF Reader는 공통 AD SDK 및 자체 AD SDK 배열을 사용합니다. Facebook 광고는 위의 로그에 표시되지만 Applovin을 사용하여 다른 사람과 함께 관찰했습니다. 또한 포함 된 사내 광고 SDK를 사용합니다 com.문서.PDF.뷰어.광고.ppmactivity. 이러한 일반적인 AD SDK의 사용이 광고를 표시하는 것이 표시되지만 반드시 그 잘못은 아닙니다. 문제는 표시되지 말아야 할 광고를 표시하고 있습니다. 앱 내에서 이러한 광고는 앱을 사용하는 것이 공정한 게임입니다. 또한 Ad SDK’Play 스토어에서 앱을 무료로 유지하려면 Applovin 및 Facebook 광고와 마찬가지로. 광고가 무작위로 앱 외부에 표시되기 시작할 때만 Adware로 자격이됩니다. 이 광고 SDK를 잘못 사용하는 PDF Reader 앱입니다.

모든 PDF 독자가 동일하지는 않습니다

Google Play에는 많은 PDF 독자가 있습니다. 그러나 이것은 Google Play 스토어 설명에서 바로 붉은 깃발을 신호하는 몇 가지 이상한 점이 있습니다.

참고 성숙한 17+ 내용 등급. PDF 리더는 어떤 이유로 성숙한 등급이 필요합니까?? 또 다른 단서가 옳지 않은 것은 개발자입니다’이름의 이름 요정 게임. 나는 당신이 제공하는 앱의 종류를 다각화하지만 게임 앱 이외의 다른 것에 대한 이상한 개발자 이름.

나는 감염 되었습니까??

당신이 자신에게 생각하고 있다면, “PDF 리더가 설치되어 있습니다. 감염 되었습니까?!?” 확인해야 할 몇 가지 사항이 있습니다. 전체 화면 광고를 받고 있습니까?? 그렇다면 이렇게 보이는 아이콘이 있습니까??

그렇게한다면 제거 할 수 있습니다 앱 정보.

더 쉽게 Android 용 Malwarebytes를 설치하고 사용할 수 있습니다 무료 제거 할 스캐너.

다른 하나는 미끄러 져 들어갑니다

우리가 이전 버전에서 알 수있는 것에서 PDF 리더 – 문서 뷰어, 2021 년 11 월 이후 존재했다. 그 후 각 버전은 최신 Google Play 버전과 마찬가지로 광고를 제공합니다. 2021 년 이래로 Google Play에 존재하는지 확인할 수는 없지만 가능할 것입니다. 모바일 장치에 많은 앱이 설치되어 있으면 추적하기가 매우 어려울 수 있습니다. Google Play에서 독점적으로 설치하는 동안 맹목적으로 신뢰하지 않는 또 다른 이유. Play 스토어가 Android에 앱을 설치하기에 가장 안전한 장소이더라도 때때로 잘못을 겪을 수 있습니다. 이 경우 맬웨어 방지 스캐너 또는 adware 방지가있는 것은 좋은 생각입니다. 거기에 안전하게 지내십시오!

앱 정보

패키지 이름 : com.문서.PDF.뷰어

앱 이름 : PDF 리더 – 문서 뷰어

개발자 : 요정 게임

Google Play URL : https : // play.Google.com/store/앱/세부 사항?id = com.문서.PDF.뷰어

이 기사를 공유하십시오