基于AdExchange的网络钓鱼/恶意软件重定向

Question

发行：

昨天我在Chefkoch.de应用程序上发现了一种奇怪的行为。在寻找食谱的过程中，

火狐打开了一个(德国)钓鱼警告屏幕。

这不仅发生在这个特定的食谱上，而且几乎发生在其他每一个食谱上。我的假设是，这与展示的广告有关。AEG广告是在发行期间展示的广告之一。

发病率反应：

攻击发生后，我立即给开发者写了一封电子邮件。今天我得到了他们的答案，这个问题对他们来说并不新鲜，他们认为这与谷歌的AdExchange服务有关。

今天，我试图对这个问题进行更多的分析，但我无法再次再现这个问题。我将更新我的问题与进一步的信息，如果我将能够重现这个问题。

问题：

1. 有人知道这样的袭击吗？(谷歌没有帮助我。)
2. 在没有用户交互的情况下，如何通过广告创建浏览器意图？

技术细节

• App版本2.2.8
• Android版本: 5.1.1
• 装置:一加一
• 用户代理: Mozilla/5.0 (Android；Mobile；rv:40.0)
• 时间: 01.09.2015 17:10:48

编辑

这一领域的一些最新研究表明，广告网络存在着一个整体问题。https://blog.malwarebytes.org/malvertising-2/2015/09/large-malvertising-campaign-goes-almost-undetected/

Answer 1

您正在寻找的术语是“恶意”，即通过广告网络发送的恶意代码。

如果您使用的移动应用程序在恶意代码试图利用的代码(公共库)中存在已知弱点，则完全有可能启动浏览器会话。

Answer 2

关于问题2(在没有用户交互的情况下，如何通过广告创建浏览器意图？)：

• 如果广告是作为整个HTML的服务器，它可以使用元刷新(<meta http-equiv="refresh" content="5; url=http://example.com/">)。
• 如果允许使用JavaScript，它可以使用它将当前位置重定向到所选择的URI。

但这并不是全部，它实际上可以做的不仅仅是打开一些HTTP。它可以使用链接(如intent://host1/#Intent;scheme=custom2;package=com.example.helloworld;end )调用任何可浏览的活动。

参考文献：

• https://developers.line.me/android/technical-configuration
• https://en.wikipedia.org/wiki/Meta_刷新
• https://android.googlesource.com/platform/frameworks/base/+/135936072b24b090fb63940aea41b408d855a4f3/core/java/android/content/Intent.java#3296