Streszczenie:

W tym artykule badamy kwestię fałszowania i uzbrojenia certyfikowanych plików PDF. Certyfikowane pliki PDF są zaprojektowane w celu zapewnienia, że ​​odbiorcy mogą zaufać autentyczności i integralności dokumentu. Istnieją jednak luki, które można wykorzystać do modyfikacji treści certyfikowanych plików PDF bez wykrycia, nawet jeśli certyfikacja pozostaje ważna. Dwa konkretne ataki, Atak z Evil Adnotation (EAA) i The Sneaky Signature Attack (SSA), pozwalają na wprowadzenie nieautoryzowanych zmian w widocznej treści PDF, zachowując pojawienie się ważnej certyfikacji. Stwierdzono, że ataki te wpływają na znaczną liczbę popularnych widzów PDF. Dodatkowy atak wtrysku kodu jest również wymieniony jako potencjalne zagrożenie.

1. Jaki jest cel certyfikowanych plików PDF?

Certyfikowane pliki PDF mają na celu zapewnienie, że odbiorcy mogą zaufać autentyczności i integralności dokumentu.

2. Czym różnią się pliki PDF od innych formatów dokumentów?

PDF są zaprojektowane tak do odczytu, w przeciwieństwie do edytowalnych formatów, takich jak dokumenty Word.

3. Jakie jest znaczenie ochrony haseł w plikach PDF?

Ochrona hasła pozwala tylko upoważnieni użytkownikom uzyskać dostęp do treści PDF.

4. Jakie są podpisy zatwierdzenia w certyfikowanych plikach PDF?

Podpisy zatwierdzenia potwierdzają określony stan dokumentu PDF. Jeśli jakiekolwiek zmiany zostaną wprowadzone w dokumencie, podpis zatwierdzenia staje się nieprawidłowy.

5. W jaki sposób podpisy certyfikacyjne działają w certyfikowanych plikach PDF?

Podpisy certyfikacyjne pozwalają na określone zmiany w podpisanym dokumencie bez unieważnienia podpisu. Nadawca może określić rodzaje zmian dozwolonych, aby dokument pozostał certyfikowany.

6. Czy podpisy cyfrowe można usunąć z pliku PDF?

Nie, podpisów cyfrowych nie można usunąć z pliku PDF, chyba że sygnatariusz ma niezbędny identyfikator cyfrowy.

7. Jakie były dwa ataki odkryte przez naukowców?

Dwa ataki odkryte przez naukowców to Atak Złego Adnotacji (EAA) i Sneaky Signature Attack (SSA).

8. Jaki jest wpływ tych ataków na certyfikowane pliki PDF?

Ataki te pozwalają odbiornikowi zmodyfikować widoczną zawartość certyfikowanego pliku PDF bez unieważnienia certyfikacji. Zmiany dokonane przez atakującego nie są wykryte przez większość widzów PDF.

9. Ilu widzów PDF było podatnych na te ataki?

Naukowcy odkryli, że 15 z 26 popularnych widzów PDF było podatnych na atak zła adnotacja (EAA), a 8 było podatnych na podstępny atak podpisu (SSA).

10. Jak naukowcy poradzili sobie z lukami?

Naukowcy odpowiedzialnie ujawnili luki wobec dotkniętych dostawców przeglądarki PDF i poparli ich w rozwiązaniu problemów.

Fałszywe i certyfikowane pliki PDFS

To wygląda znacznie lepiej. Teraz w zaledwie 22 wierszach możemy z łatwością analizować kod.

Malwarebytes nie wykrył wirusa zestawu root PDF

Zarejestruj się na nowe konto w naszej społeczności. To jest łatwe!

Zalogować się

Posiadasz już konto? Podpisz tutaj.

Więcej opcji udostępniania.

Niedawno przeglądanie 0 członków

  • Brak zarejestrowanych użytkowników nie wyświetlających tej strony.

Działalność

Osobisty

  • Z powrotem
  • Osobisty
  • MalwareBytes dla systemu Windows
  • Malwarebytes dla Mac
  • MalwareBytes Prywatność VPN
  • Malwarebytes Straż przeglądarki
  • MalwayBtyes AdwCleaner
  • Malwarebytes dla Chromebook
  • Malwarebytes na Androida
  • Malwarebytes na iOS

Biznes

  • Z powrotem
  • Biznes
  • Ochrona punktu końcowego
  • Ochrona punktów końcowych dla serwerów
  • Ochrona i reakcja punktu końcowego
  • Wykrywanie i reakcja punktu końcowego dla serwerów
  • Reagowania na incydenty
  • Bezpieczeństwo punktu końcowego

Moduły biznesowe

  • Z powrotem
  • Moduły biznesowe
  • Filtrowanie DNS
  • Podatność i zarządzanie łatami
  • Remediation for Crowdstrike®

Wzmacniacz

Uczyć się

Zacznij tutaj

Rodzaj złośliwego oprogramowania/ataków

Jak to się dzieje na moim komputerze?

Oszustwa i Grifts

Wsparcie

  • Z powrotem
  • Wsparcie osobiste
  • Wsparcie biznesowe
  • Ujawnienie podatności
  • Tworzyć nowe.

Ważna informacja

Ta strona korzysta z plików cookie – umieściliśmy pliki cookie na twoim urządzeniu, aby ulepszyć tę stronę. Możesz dostosować ustawienia plików cookie, w przeciwnym razie założymy, że wszystko jest w porządku, aby kontynuować.

Fałszywe i certyfikowane pliki PDFS

Certyfikowane pliki PDF powinny kontrolować modyfikacje, aby odbiorcy wiedzieli, że nie byli manipulowani. To nie zawsze działa.

Typ pliku przenośnego formatu dokumentów (PDF) jest jednym z najczęstszych formatów plików używanych obecnie. Jego wartość wynika z faktu, że pliki PDF zawsze drukują w ten sam sposób i że PDF powinny być tylko do odczytu (w przeciwieństwie do dokumentu Word, powiedzmy, że można łatwo edytować). Ta niezmienność może być zapewniona przez ochronę haseł i podpisywanie cyfrowe. PDF są szeroko stosowane w branży prawnej, medycznej i nieruchomości, ale są również widoczne w edukacji, małych firmach i innych sektorach. Popularność formatu naprawdę wystartowała, gdy Adobe wydał go jako otwarty standard w około 2008.

Bezpieczeństwo PDF

Pliki PDF mogą być chronione hasłem, aby tylko osoby z hasłem mogły odczytać zawartość pliku. Jednak dla każdego, kto to zna hasło’jest trywialnym, aby usunąć hasło lub utworzyć identyczny plik, który nie jest chroniony hasłem.

Certyfikowane pliki PDF

  • Podpisy zatwierdzenia Zeznaj jeden konkretny stan dokumentu PDF. Jeśli dokument zostanie zmieniony, podpis staje się nieprawidłowy.
  • Podpisy certyfikacyjne Zezwalaj na określone zmiany w podpisanym dokumencie bez unieważnienia podpisu. Możesz określić rodzaje zmian, które mogą pozostać certyfikowane dokumentem. Na przykład nadawca może określić, że podpis od odbiornika w wyznaczonym polu nie unieważnia certyfikacji. W ten sposób nadawca może być pewien, że po otrzymaniu podpisanej kopii, że podpis był jedyną zmianą w dokumencie. Świadectwo podpisów może być widoczne lub niewidoczne.

Podpisy cyfrowe

Nie możesz usunąć podpisu cyfrowego z pliku PDF, chyba że to ty umieściłeś go i masz cyfrowy identyfikator podpisywania go. Za każdym razem, gdy dokument jest podpisywany za pomocą certyfikatu, podpisana wersja pliku PDF w tym czasie jest zapisywana z pdf. Każda wersja jest zapisywana jako dodatek, a oryginału nie można zmodyfikować. Po podpisaniu dokumentu możesz wyświetlić listę zmian wprowadzonych do dokumentu po ostatniej wersji.

Potajemnie zmieniające się podpisane dokumenty

Jednak naukowcy pracujący na Uniwersytecie Ruhr Bochum (Niemcy) przedstawili dwa możliwe ataki, w których treść dokumentu PDF może zostać zmieniona przez odbiorcę w taki sposób, aby zmiany były niewykrywalne, albo we wszystkich aplikacjach PDF lub w podzbiorze ich. Nazwiska, które podali tym dwóm atakom to:

  • Zła adnotacja (EAA)
  • Sneaky Signature Attack (SSA)

Obie luki pozwalają atakującemu na zmianę widocznej treści dokumentu PDF poprzez wyświetlanie nieautoryzowanej treści nad certyfikowaną treścią. Jednak certyfikacja pozostaje ważna, a wniosek nie wykazuje ostrzeżeń, że wprowadzono nieautoryzowane zmiany.

Sukces tych ataków zależy od konkretnego przeglądarki PDF. Te aplikacje mają powiadomić czytelnika o wszelkich nieautoryzowanych zmianach. Naukowcy ocenili 26 popularnych widzów PDF. Byli w stanie złamać bezpieczeństwo certyfikowanych dokumentów w 15 z nich z EAA. Osiem aplikacji było podatnych na SSA. Tylko dwa nie zostały oszukane przez żaden atak. Naukowcy odpowiedzialnie ujawnili te problemy i wsparli dostawców w celu ustalenia luk w zabezpieczeniach.

Dodatkowy atak wtrysku kodu

Aktualizacja przyrostowa wprowadza możliwość przedłużenia pliku PDF poprzez dołączenie nowych informacji na końcu pliku. Oryginalny dokument pozostaje niezmodyfikowany i utrzymana jest historia rewizji wszystkich zmian dokumentów. Przykładem aktualizacji przyrostowej jest włączenie certyfikacji, podpisu, adnotacji lub formularzy wypełniających w PDF.

Tylko certyfikowane dokumenty mogą wykonywać wysoko uprzywilejowany kod JavaScript w produktach Adobe, ale badania pokazują, że taki kod jest również wykonywany, jeśli jest dodawany jako dozwolona aktualizacja przyrostowa. To pozwala napastnikom Bezpośrednio osadził złośliwy kod w certyfikowany dokument. Jeśli zastanawiasz się, dlaczego to źle, zastanów się, że jesteśmy teraz w czwartej dekadzie złośliwych makr Microsoft Office.

Poziomy pozwolenia na certyfikowane dokumenty

Certyfikator ma wybór trzech różnych poziomów uprawnień, aby umożliwić różne modyfikacje:

  • P1: Żadne modyfikacje dokumentu nie są dozwolone.
  • P2: Wypełnianie formularzy i cyfrowo podpisanie dokumentu są dozwolone.
  • P3: Oprócz P2, adnotacje są również dozwolone.

Adnotacje wprowadzają inną metodę wprowadzania użytkownika, umożliwiając użytkownikowi umieszczenie uwag w dokumencie PDF, takim jak podświetlenie tekstu, strajki lub lepkie notatki. Adnotacje nie ograniczają się do predefiniowanych miejsc w pliku PDF i mogą być stosowane wszędzie w dokumencie.

Zła adnotacja atak (EAA) łamie P3

Naukowcy znaleźli trzy rodzaje adnotacji zdolnych do ukrywania i dodawania tekstu i obrazów. Wszystkie trzy można wykorzystać do ukradkową modyfikację certyfikowanego dokumentu i wstrzykiwanie złośliwych treści. Aby wykonać atak, atakujący modyfikuje certyfikowany dokument, włączając adnotację z złośliwą treścią na pozycji atakującego’S wybór. Według naukowców ofiara musiałaby ręcznie sprawdzić warstwy UI lub kliknąć adnotację w celu wykrycia modyfikacji. A atakujący może nawet zablokować adnotację, aby wyłączyć kliknięcie.

Sneaky Signature Attack (SSA) łamie P2

Ideą podstępnego ataku podpisu polega na manipulowaniu pojawieniem się dowolnej treści w PDF poprzez dodanie nakładających się elementów podpisu do dokumentu PDF, który jest certyfikowany na poziomie P2. Atakujący modyfikuje certyfikowany dokument, włączając pole podpisu ze złośliwą treścią w pozycji atakującego’S wybór. Atakujący musi następnie podpisać dokument, ale nie musi posiadać zaufanego klucza. Wystarczający jest samowystarczalny certyfikat SSA.

Słabości

Naukowcy wykorzystali dodatkowe techniki, aby ich ataki były jeszcze mniej łatwe do wykrycia. Ataki ujawniają, że podpisy i adnotacje mogą:

  • Być dostosowane do normalnego tekstu/obrazów powyżej podpisanej treści.
  • Być nie do odróżnienia od oryginalnej treści.
  • A ich wskazania mogą być ukryte przed warstwami interfejsu użytkownika.

Korzystanie z EAA i SSA do wstrzykiwania JavaScript

W przypadku adnotacji i pola podpisu możliwe jest przekazanie odniesienia do obiektu zawierającego JavaScript. Możliwe jest uruchomienie wykonywania kodu podczas otwierania strony. Ofiara nie jest w stanie temu zapobiec. Atak nie ogranicza się do wywołania strony internetowej, ale może wykonać dowolny wysoki uprzywilejowany kod JavaScript. Jedynym wymogiem jest to, że ofiara w pełni ufa certyfikatu użytego do certyfikacji dokumentu PDF.

Specyfikacja PDF

Według projektowania certyfikowane dokumenty umożliwiają złożone i wysoce pożądane przypadki użycia, a diabeł tutaj wydaje się być w szczegółach specyfikacji, która trwa na 994 stronach! Specyfikacja będzie musiała zostać zaktualizowana, aby rozwiązać problemy znalezione przez tych badaczy. Być może wymaga to również uproszczenia, aby uniknąć dalszych niezamierzonych konsekwencji.

Aby uzyskać więcej szczegółów technicznych i metodologię badań, radzimy zainteresowanym czytelnikom, aby przejdzieli oryginalny artykuł (PDF). Będziesz także mógł dowiedzieć się, w jaki sposób Twoja ulubiona aplikacja zajmuje się tymi problemami.

UDOSTĘPNIJ TEN ARTYKUŁ

Archiwa złośliwego oprogramowania: pliki PDF

Archiwa złośliwego oprogramowania: pliki PDF

Adobe Reader ma historię luk i jest dość wykorzystywany. Po udarzeniu się eksploatacji ładunek złośliwego oprogramowania może zainfekować komputer za pomocą podwyższonych uprawnień. Z tych powodów to’Dobrze wiedzieć, jak analizować pliki PDF

Są szanse, że prawdopodobnie używałeś wcześniej czytnika Adobe do odczytania plików przenośnego formatu dokumentów (PDF). Adobe Reader – Formerly Acrobat Reader – remina programu numer jeden używany do obsługi plików PDF, pomimo konkurencji od innych.

Jednak Adobe Reader ma historię luk i jest dość wykorzystywany. Po udarzeniu się eksploatacji ładunek złośliwego oprogramowania może zainfekować komputer za pomocą podwyższonych uprawnień.

Z tych powodów to’Dobrze wiedzieć, jak analizować pliki PDF, ale analitycy najpierw potrzebują podstawowego zrozumienia pliku PDF, zanim uznają to za złośliwe: oto informacje’Muszę wiedzieć.

Plik PDF jest zasadniczo tylko nagłówkiem, niektóre obiekty pomiędzy nimi, a następnie zwiastun. Niektóre pliki PDF Don’T mieć nagłówek lub przyczepę, ale to jest rzadkie. Obiekty mogą być bezpośrednie lub pośrednie, a istnieje osiem różnych rodzajów obiektów.

PDFObjects

Bezpośrednie obiekty są wartościami wbudowanymi w pdf ( /flatdeCode, /długość itp.), Podczas gdy obiekty pośrednie mają unikalny identyfikator i numer generacji (OBJ 20 0, OBJ 7 0 itp.). Obiekty pośrednie są zwykle tym, co my’Zwracanie uwagi na analizę złośliwego oprogramowania PDF i można je odwoływać przez inne obiekty w pliku PDF.

Wiedząc o tym, niech’s Spójrz na złośliwe oprogramowanie PDF. My’Zamierzam zaobserwować PDF, który wykorzystuje CVE-2010-0188, bardzo powszechny exploit znaleziony na wolności. Do celów referencyjnych skrót MD5 naszego pliku docelowego to 9BA98B495D186A4452108446C7FAA1AC.

Pierwszą rzeczą, której potrzebujemy, są narzędzia do analizy.

Uważam, że narzędzia PDF Didiera Stevensa są jednymi z najlepszych. Stevens’ Wszystkie narzędzia są napisane w Python i są bardzo dobrze udokumentowane. W przypadku tego konkretnego złośliwego oprogramowania my’LL używa Stevensa’ Narzędzia wraz z innymi narzędziami używanymi do de-obozów i kodu debugowania.

PDFID to pierwsze narzędzie, którego będziemy używać, i to bardzo prosty skrypt, który wyszukuje podejrzane słowa kluczowe. Oto dane wyjściowe ze skanowania naszego pliku docelowego.

pdfidscan

Wyjście z PDFID donosi, że istnieje dziewięć obiektów. Z tych obiektów istnieją dwa strumienie wraz z obiektem Acroform. Pozwalać’s najpierw obserwuj obiekt Acroform. W tym celu my’Zamierzam użyć innego narzędzia Stevensa o nazwie PDF-Parser, które przyjrzy się bliżej określonymi obiektami PDF.

Acroform

Obiekt Acroform odwołuje się do obiektu 21 poniżej. Z obiektu 21 widzimy tekst „XFA”, który oznacza architekturę formularzy XML, format Adobe używany dla formularzy PDF. Obok XFA widzimy dwa obiekty: OBJ 100 i 8. Ponieważ nie ma OBJ 100, my’Zamiast tego spójrz na OBJ 8.

obiekt8

Dostępne są dwa obiekty z różnymi liczbami generacji: OBJ 8 0 i pozostałe 8 2. Numer generacji po prostu reprezentuje numer wersji obiektu i przyrostów, gdy istnieje wiele instancji jednego identyfikatora obiektu. Jednak OBJ 21 odwołuje się do OBJ 8 0, więc niech’S skupiaj się na pierwszym.

Tutaj sprawy zaczynają się ciekawe. Wewnątrz 8 0 Widzimy, że istnieje strumień, który wydaje się mieć zerową długość (/długość 0). Strumienie to w zasadzie duże zestawy danych. Z złośliwym pdf, co zwykle oznacza, że ​​JavaScript Exploit Code jest w środku, co prawdopodobnie doprowadzi do wykonania kodu powłokowego.

Teraz, gdy mamy oczy na 8 0, powinniśmy to dalej zbadać za pomocą PDF-Parser. My’Zamierzam spojrzeć konkretnie na surowe wyjście 8 0 za pomocą następującego polecenia (wyjście było dość długie, więc wysłałem je do pliku tekstowego):

Python PDF-Parser.py -f -o 8 -w pdf_malware.PDF> Object8.tekst

A teraz my’Spójrz na wyjście, które wydaje się zawierać jakiś JavaScript. Wewnątrz skryptu ty’zobaczę bardzo długą sekwencję znaków. Wydaje się, że długość strumienia danych nie jest 0, jak pierwotnie doprowadziło do tego.

Htmlcodes

Wartości te są numerycznymi odniesieniami do znaków (NCRS). W HTML odniesienia do postaci są niedozwolone, z wyjątkiem 9, 10 i 13. Są to znaki kontrolne, które nie reprezentują wartości do wydrukowania.

Aby zrozumieć, co reprezentują te odniesienia do postaci, musimy zapoznać się z tabelą ASCII. Jednak ze względu na samą ilość odniesień do postaci, które mamy, zajęłoby trochę czasu, aby przekonwertować je ręczne. Będziemy potrzebować skryptu lub specjalnego narzędzia do szybkich konwersji. Dzięki Kahu Security mamy takie narzędzie o nazwie konwerter.

Konwerter to prosty program używany do przyjmowania danych i konwersji na/z wielu typów, a także pozwala na operacje bitowe. W przypadku tego złośliwego oprogramowania PDF możemy skopiować NCRS do konwertera i wybrać ‘Dekodować html’.

konwerterhtml

Powodzenie! Pole wyjściowe ujawnia zdekodowany JavaScript.

ConvertEdHtml

Teraz możemy wkleić ten JavaScript w nowy plik tekstowy i wyczyścić go. Wydaje się jednak, że pojawia się problem, gdy wklejemy kod.

Wastedjavascript

Wygląda na to, że każda wartość w tablicy „AR” jest drukowana na osobnej linii. Mając prawie 4000 wierszy w nowym dokumencie, naprawa zajęłaby to zbyt długo.

Powodem tego jest to, że NCR 10 reprezentuje kanał linii (LF) i jest umieszczony po każdym przecinku w tablicy. Jeśli spojrzałeś na obraz zdekodowanej mocy, w rzeczywistości pojawia się jako mały czarny pasek, prawie przypominający rurę lub postać skoku Sheffera („|”).

Aby to naprawić, musimy tylko znaleźć/wymienić i usunąć wszystkie wystąpienia NCR 10. Następnie po prostu powtarzamy proces konwersji za pomocą konwertera i umieszczamy dekodowane wyjście w nowym pliku tekstowym, tym razem owinięte tagiami.

Formatedjavascript

To wygląda znacznie lepiej. Teraz w zaledwie 22 wierszach możemy z łatwością analizować kod.

Jednak podczas czytania kodu wydaje się, że wciąż jest trochę pracy. Wydawałoby się, że JavaScript jest nadal lekko zaciemniony. Stąd dobrym pomysłem może być debugowanie kodu, aby szybko zrozumieć, co’S trwa.

Żeby to zrobić, ja’Mę użyć Firebug, dodatku do Mozilla Firefox. Firebug to uniwersalne narzędzie do analizy stron internetowych, a także umożliwia kontrolę i debugowanie JavaScript. Istnieją inni debuggery JavaScript, ale podoba mi się ten.

Po dodaniu niektórych tagów możemy załadować ten plik do Firefox i rozpocząć debugowanie. Poszedłem naprzód i ustaliłem punkt przerwania na ostatnim wierszu i wykonałem kod. Z poniższego obrazu widać, że „W” dekoduje się do „eval ()”, polecenie JavaScript powszechnie używane w złośliwym oprogramowaniu do wykonywania kodu, podczas gdy „s” jest samym obojercowanym kodem.

FireBugjavascript

W tym momencie możemy skopiować kod z „s” i wkleić go do innego pliku tekstowego. Po oczyszczeniu kodu i dodaniu niektórych komentarzy, wydaje się, że dotarliśmy do naszego ostatecznego miejsca docelowego.

Finaljavascript

Szybkie spojrzenie na kod ujawnia spray na stosie, a następnie sanki NOP. Po pomyślnej eksploatacji, wbudowany kod skorupowy zostanie wykonany.

Sheppray

Podczas badania kodu powłoki w edytorze sześciokątnym możemy zobaczyć stronę internetową skontaktowaną przez złośliwe oprogramowanie, którym jest hxxp: // [edytowane]/w.php?f = 0 i e = 4. Jeśli przyjrzysz się uważnie, pojawia się również, że pobrane złośliwe oprogramowanie zostanie zarejestrowane jako DLL na hosta jako WPBT.DLL (lekko zaciemnione z niektórymi śmieciami).

EmbedDedShellCode

I to’S wszystko, co w tym jest. Don’naprawdę musi dalej analizować plik, ponieważ możemy już zrozumieć, co’s stanie się, gdy plik PDF zostanie wykonany.

Dobra wiadomość jest taka, że ​​nie wpłynie to na użytkowników, którzy regularnie aktualizują Adobe Reader, ponieważ exploit jest skierowany tylko do użytkowników w wersji 8 i 9. Ponadto wiele przeglądarek internetowych, takich jak Google Chrome, zintegrowało własnych przeglądarzy plików PDF, aby uniemożliwić użytkownikom wykorzystywanie.

Aby zachować bezpieczeństwo za pomocą Adobe Reader, upewnij się, że masz włączone automatyczne aktualizacje, przeglądaj tylko pliki PDF z zaufanych źródeł i rozważ alternatywnych widzów. Adobe PDF Exploits może zapewnić atakującym przyczółek na komputerze, który może z łatwością prowadzić do zakażeń złośliwego oprogramowania, więc możesz również rozważyć upuszczenie go z komputera, jeśli Don You Don’t wymagaj tego.

Bądź na bieżąco, aby uzyskać więcej analizy na temat złośliwych dokumentów i innych mediów.

Joshua Cannell jest analitykiem inteligencji złośliwego oprogramowania w Malwarebytes, gdzie przeprowadza badania i dogłębną analizę obecnych zagrożeń złośliwego oprogramowania. Ma ponad 5 -letnie doświadczenie w pracy z amerykańskimi agencjami wywiadu obronnego, w których przeanalizował złośliwe oprogramowanie i opracował strategie obrony za pomocą technik inżynierii odwrotnej. Jego artykuły na temat Rozpakowany Blog przedstawia najnowsze wiadomości w złośliwym oprogramowaniu, a także w pełnej analizie technicznej. Śledź go na Twitterze @joshcannell

UDOSTĘPNIJ TEN ARTYKUŁ

Adware znalezione w Google Play – czytnik PDF obsługujący reklamy na pełnym ekranie

Adware znalezione w Google Play - czytnik PDF obsługujący reklamy na pełnym ekranie

Czytnik PDF znaleziony w Google Play z ponad milionem pobrań agresywnie wyświetla reklamy na pełnym ekranie, nawet jeśli aplikacja nie jest używana.

Czytnik PDF znaleziony w Google Play z ponad milionem pobrań agresywnie wyświetla reklamy na pełnym ekranie, nawet jeśli aplikacja nie jest używana. Mówiąc dokładniej, czytelnik jest znany jako Czytnik PDF – Dokumentuje przeglądarka, Nazwa pakietu com.dokument.PDF.widz. W rezultacie to agresywne zachowanie ląduje w dziedzinie adware. Lub jak to nazywamy, Android/Adware.Ukryte.PPMA.

Łapanie oprogramowania

Złapanie tego oprogramowania w czasie rzeczywistym to gra instalacji i oczekiwania. Minęło kilka godzin, zanim aplikacja PDF wyświetli reklamy. To długie opóźnienie polega na utrudnianiu wyśledzenia, która aplikacja powoduje reklamy. Na przykład reklamy pełnego ekranu wyświetlane bezpośrednio po instalacji prawdopodobnie spowodowałyby szybkie odinstalowanie. Mając to na uwadze, podłączyłem telefon do laptopa Monitor urządzenia z Androidem działanie. Wśród innych narzędzi, Monitor urządzenia z Androidem Obejmuje Logcat który rejestruje całą aktywność na urządzeniu mobilnym z Androidem. Następnie zainstalowałem Czytnik PDF – Dokumentuje przeglądarka, Nazwa pakietu com.dokument.PDF.widz, bezpośrednio z Google Play. Tak więc moja gra czekająca rozpoczyna się rano 22 sierpnia .

Ku mojemu zaskoczeniu, o 15:04 usłyszałem, że mój telefon testowy brzmi urok. Oczekiwam od poprzednich testów jest to, że trwa to dłużej, zanim wyświetli się reklama. Przed odblokowaniem ekranu sprawdziłem mój Logcat dzienniki.

Słowo kluczowe jest ‘POCZĄTEK’ w dzienniku. To, co zaczyna się, to AD SDK. Tym razem od czytnika PDF’S Specjalny wewnętrzny SDK AD, com.dokument.PDF.widz.reklamy.PPMaktywność. Odblokowanie ekranu blokady pojawia się kolejny ważny dziennik.

08-22 15:04:56.318: I/ActivityManager (765): Wyświetlany com.dokument.PDF.widz/.reklamy.PPMActivity: +942 ms

Rzeczywiście, patrząc na telefon jest reklamą na pełnym ekranie “wystawiany.”

Niedługo potem w dziennikach zaczyna się kolejna reklama SDK.

Jeszcze raz wyświetla kolejna reklama. Tym razem jest to reklama wideo.

08-22 15:05:34.927: I/ActivityManager (765): Wyświetlany com.dokument.PDF.przeglądarka/com.Facebook.reklamy.AUDINCENETworkActivity: +555 ms

Po początkowych reklamach przychodzą częściej. Za każdym razem początek reklam jest oznaczona urokiem na urządzeniu mobilnym. Odtąd czeka na pełnowymiarowy reklama. Natychmiast po pierwszej reklamie jest reklama wideo.

Przywdziewać’t Winić reklamy SDK

Czytnik PDF używa szeregu wspólnych SDK AD i własnego SDK AD. Reklamy na Facebooku są pokazane w powyższym dzienniku, ale zaobserwowaliśmy je również za pomocą Applovin wraz z innymi. Ponadto wykorzystuje wewnętrzny SDK AD com.dokument.PDF.widz.reklamy.PPMaktywność. Chociaż wyświetlane jest użycie tych wspólnych SDK AD, wyświetlające reklamy, niekoniecznie jest to ich wina. Problem polega na wyświetlaniu reklam, w których nie powinny być wyświetlane. Każda z tych reklam w aplikacji, zainicjowana za pomocą aplikacji, jest uczciwą grą. Ponadto reklama sdk’S, jak reklamy Applovin i Facebook są niezbędne, aby aplikacje za darmo w sklepie Play. Dopiero gdy reklamy zaczną wyświetlać się poza aplikacją losowo, kwalifikuje się jako adware. Jest to aplikacja czytnika PDF, która bezprawnie używa tych SDK AD.

Nie wszyscy czytelnicy PDF są tacy sami

W Google Play jest wielu dobrych czytelników PDF. Jednak ten ma dziwne sygnalizujące czerwone flagi bezpośrednio z opisu sklepu Google Play.

Zanotuj Dojrzałe 17+ Ocena Zawartości. Z jakiego powodu czytnik PDF potrzebuje dojrzałej oceny? Kolejna wskazówka, że ​​coś jest nie tak, jest programista’S. Nazwa Wróżkowe gry. Otrzymuję dywersyfikację rodzajów aplikacji, które dostarczasz, ale dziwna nazwa programistów dla czegokolwiek innego niż aplikacje do gier.

Czy jestem zarażony?

Jeśli myślisz sobie, “Mam zainstalowany czytnik PDF, jestem zarażony!?” Oto kilka rzeczy do sprawdzenia. Czy otrzymujesz reklamy na pełnym ekranie? Jeśli tak, czy masz ikonę, która wygląda tak?

Jeśli to zrobisz, możesz odinstalować Informacje o aplikacjach.

Łatwiej możesz zainstalować MalwareBytes na Androida i korzystać z naszego bezpłatny skaner do usunięcia.

Kolejny prześlizguje się

Z tego, co możemy powiedzieć z poprzednich wersji Czytnik PDF – Dokumentuje przeglądarka, istniał od listopada 2021. Każda późniejsza wersja serwuje reklamy, podobnie jak najnowsza wersja Google Play. Chociaż nie możemy sprawdzić, czy istnieje w Google Play od 2021 r., Prawdopodobnie jest tak. Jeśli masz wiele aplikacji zainstalowanych na urządzeniu mobilnym, ta może bardzo trudna do wyśledzenia. Kolejny powód, aby nie ślepo ufać, że jesteś bezpieczny podczas instalowania wyłącznie z Google Play. Nawet jeśli sklep z zabawą jest zdecydowanie najbezpieczniejszym miejscem do instalowania aplikacji na Androidzie, może od czasu do czasu winić. W tym przypadku dobrym pomysłem jest posiadanie skanera przeciwbrańskiego lub anty-adware. Zachowaj bezpieczne tam!

Informacje o aplikacji

Nazwa pakietu: com.dokument.PDF.widz

Nazwa aplikacji: czytelnik PDF – Dokumenty przeglądarki

Deweloper: Fairy Games

Google Play URL: https: // Play.Google.com/sklep/aplikacje/szczegóły?id = com.dokument.PDF.widz

UDOSTĘPNIJ TEN ARTYKUŁ