如何在Android上搜索恶意广告

为了便于找到恶意广告，我大约使用7个小时，尝试了各种不同的方法终于找到一种方便的方法，由此写出本文。

我被邀请参加一个特殊的计划，因为从来没有人提交过类似的信息，所以我真的很想找到一个并进行提交。

测试环境有一些非常独特的要求。我无法通过wifi使用代理，因为广告不会弹出，否则只会在移动网络上弹出。我尝试了一些本地流量捕获

应用程序，但是并没有成功。最终，我在台式机上使用Android Dev-Tools和Chrome成功了，这是在我使用Android以来最开心的时刻。

1. 启用USB调试
1. 关掉wifi
1. 在Android上打开Chrome
1. 转到“设置”并选择“站点设置”
1. 将Javascript，弹出窗口和重定向以及广告设置为允许。您的设置应该是这样的

通常在桌面上安装Android Studio时，也会安装DevTools。当设备通过USB插入计算机时，DevTools将检测到您的设备，接受Android上的提示，如同此屏幕的截图。

现在打开Chrome并按住Ctrl + Shift + I打开DevTools，然后单击Discover USB devices。

要查找您的设备，请转到网络>远程设备，您可以在Chrome浏览器中点击手机。

接下来，我将在Android设备上打开Chrome，并在“远程设备”窗口中检测到浏览器标签。

在您希望DevTools监视的选项卡上单击检查。将打开一个窗口，显示您的电话屏幕以及加载选项卡时发出的所有请求。与桌面网站相比，

这也是检查移动设备上是否存在不同请求的便捷方式。作为一个例子，我使用了我的网站。

由于不公开政策，我不能说我使用这种方法的网站。通过出价系统加载的广告越多越好。攻击者使用此出价系统在网站上隐藏他们的广告。

在您找到一个可以加载大量广告的网站后，您就可以开展相应的业务了。

恶意广告广告的工作原理是赢取出价并使用Polyglot图像隐藏恶意广告攻击。尝试拦截这些Polyglot payloads 的最佳方法是使用DevTools并保存请求日志。这样，可以在payloads激发之后保存和分析HAR文件。

单击保留日志

在Android手机上关闭wifi。

清除cookies和历史。

刷新页面并滚动。

浏览另一页。

Polyglot有效负载将在图像加载时无需用户交互即可触发。

浏览需要尽可能的是手动化的，最好不要使用工具进行检查。

更多恶意广告广告的示例

另一个针对谷歌。

有趣的是，除非您拥有初始重定向链接，否则网址会为广告添加一个使用令牌。所有域名都是.live或.online。

他们使用的另一种技术是倒数计时器，试图让它看起来像受害者需要在该时间范围内做出选择。在计时器达到0之后没有任何事情发生。

并且每次重定向页面都会增加奖励，最终导致Costco模仿网站。触发广告后，右键点击任何请求，然后选择“全部保存为包含内容的HAR”。

这将把HAR文件保存为“website.har”。HAR文件是浏览会话中发出的所有请求的json格式文件。

我不仅仅停止收到广告，我自然想知道更多以满足我的好奇心。当我正在深入研究应用程序或方法时，这就是我最兴奋的时刻。在这种情况下，这是一个恶意广告活动。

在重定向之后，我看到另一个页面作为奖励中心。我下载了这个页面，它长4134行，这本身很有趣。其次，文件扩展名为“.mhtml”。

在查找mhtml文件格式之后，这完全可以理解为什么选择此文件格式。mhtml文件的摘要是“网页存档格式，

用于在单个计算机文件中组合HTML代码及其伴随资源，这些资源由网页的HTML代码中的外部超链接表示”。

我很快发现重定向的超链接位于Rewards Center源代码的Multipart Boundaries部分。

伪造的评论被硬编码到页面中。

正在使用Glypicons，可能用于编码payloads 以防止检测。

终于找到了文件底部附近的图像数据！看起来有些数据是由Glyphicons编码的。

我相信payloads 多字符在这里，但检测严重受阻。其中一个原因是Javascript注释以“* /”结尾，并且它位于其中两个图像中。

我的目标是解码这些图像payloads ，并在本博文中有第2部分。我希望你喜欢这个写作，因为我喜欢寻找恶意广告。

PS我正在找工作，如果你喜欢我的工作，请通过b3nac.sec@gmail.com或我的LinkedIn 联系我。