今天在微软商店中发现了一个名为“Google相册”的恶意应用程序，它把自己的来源伪装成了谷歌公司。这个应用程序假装自己是Google相册的一部分，但实际上是一个广告点击器，它可以在Windows 10中重复打开隐藏的广告。

这个免费的“Google相册”声称是由Google LLC创建的，其中包含“一款与您一样聪明的照片应用”的说明。您可以在下面看到它在微软商城页面的图像。

由于这是一个广告点击器，所以用户们对它的评论不是很好。其中一篇评论称它是“假应用”，另一篇评论的标题是“这是假的，不要安装”。

下面我们将挖掘并解释广告点击器的工作原理，以及它显示的广告类型。

谷歌相册广告点击器

“Google相册”是一款PWA应用（渐进式网络应用），附带了捆绑式广告点击器。在应用程序运行时，这个广告点击器将重复连接到远程主机并在后台显示广告，这样其开发人员就能够从中获取利益。

广告点击器组件由三个文件夹组成，它们分别是Block Craft 3D.dll，Block Craft 3D.exe和Block Craft 3D.xr. 这三个文件夹都位于应用程序文件夹中。您可以在下面的文件夹的图像中看到这些文件。

当用户通过“Google相册”启动相册时，屏幕会出现Google相册的登录页面。这是来自Google的合法登录窗口，虽然至今为止没有任何证据表明，通过这个窗口登录会使账号被盗，但是仍然不建议使用此应用登录Google相册。

在后台程序中，应用程序将连接到http://11k.online/Ad/constants/9n0wkj6hpz86.json并下载配置文件。这个配置文件（如下所示）包含了有关广告的显示频率、广告页面的地址等设置。配置文件还指示广告可以直接显示在应用中，但BleepingComputer在测试应用时没有看到任何广告。

应用程序读取配置文件后，它将连接到各种“AdBanner”的网址并在后台显示它们。

广告显示的形式也十分狡猾，因为广告是在后台执行的，而不是显示给用户。因此，如果广告具有音频文件，那么用户将听到它但无法看到它来自哪里，这是一种技术支持骗局类型的广告。这会让您感觉的非常怪异，因为您看不到是哪个应用程序正在生成发声。

当测试配置文件中的广告网址时，它显示的广告与我们从广告软件中看到的非常相似。这些广告包括技术支持骗局、大量不必要的Chrome扩展程序，伪造的Java和Flash安装程序、购买流量的博客和其他低质量的网站。

比如，你可以看到应用程序打开的技术支持骗局，它通过声明Windows易受攻击来推动不需要的系统优化程序。

目前，因为“Google相册”假装来自谷歌公司，所以暂时还不清楚它是如何通过微软的审核。此外，由于评论都在声讨这是恶意软件，按理说微软应该触发警报，并且进行更深层次的审核。

BleepingComputer已经联系了微软，询问了关于审查过程的问题，但在本文发表时还没有收到微软的回复。