安全研究员Lawrence Abrams于近日通过BleepingComputer网站警告称，他在微软官方应用商店Microsoft Store中发现了一款名为“Album by Google Photos”的恶意应用程序。从其命名来看，该恶意应用试图与谷歌公司开发的官方应用“Google Photos”扯上关系，但它实际上是一个广告点击器，会反复打开隐藏在Windows 10中的广告。 [出自:jiwo.org]

不仅仅是在应用程序的命名上，就连其发布者的名称也像极了谷歌——在Microsoft Store页面上，其开发者显示为“Google LLC”。我们首先需要知道的是，“Google Inc”才是谷歌公司在Microsoft Store上的官方发布者。因此，无论是使用“Google LLC”还是其他类似名称发布的应用，都是虚假的谷歌应用。

由于这款应用程序实际上是一个广告点击器，因此用户对它的评价并不是很好。其中还一条评论称其为“100%的虚假应用”，而另一条评论则警告称“它是假的，不要安装”。

下面，我们将深入介绍该广告点击器的工作原理以及其所显示的广告类型。

广告点击器的工作原理

Album by Google Photos是一款PWA应用（渐进式网络应用），可作为Google Photos的前端。但遗憾的是，它捆绑了广告点击器。当它运行时，捆绑的广告点击器将重复连接到远程主机并在后台显示广告，以便为其发布者创造收入。

广告点击器主要由三个文件组成，它们都位于应用程序的安装文件夹中，分别名为Block Craft 3D.dll、Block Craft 3D.exe和Block Craft 3D.xr，如下图所示。

当通过该应用来打开相册时，屏幕上会出现要求用户登录到Google Photos的页面。这是来自谷歌的合法登录页面，虽然研究证实登录并不会造成凭证被窃取，但研究人员仍然建议用户不要通过该应用来登录Google Photos。

在后台，该应用将连接到hxxp://11k.online/Ad/constants/9n0wkj6hpz86.json并下载配置文件。在配置文件（如下所示）中，包含了有关广告的显示频率、广告页面网址等设置。

在读取配置文件之后，该应用将连接到各种广告页面网址并在后台显示它们。通过Fiddler（一个HTTP调试抓包工具），我们可以很清楚地看到每个广告的流量。

对配置文件中的广告网址的测试表明，这些广告涉及各种技术支持诈骗、大量会推送用户并不需要的Chrome扩展程序（如虚假的Java和Flash安装程序）的页面、正在购买流量的博客，以及其他低俗网站。

微软尚未做出任何置评

目前尚不清楚这样的应用程序是如何通过Microsoft的审核机制的，因为就Album by Google Photos而言，它明显冒用了谷歌公司的名义。更重要的是，在其评论中，已经有很多用户明确反馈它是一款恶意应用，但它仍然没有得到微软的处理。

在Lawrence Abrams向BleepingComputer网站共享了他的发现之后，BleepingComputer已经与微软进行了联系，以询问有关审核机制的问题。但截至到Lawrence Abrams的文章发布，BleepingComputer也没有收到微软的回复。