RAINBOWMIX

RAINBOWMIX est le nom des chercheurs d'un groupe de 240 applications Android conçues pour fournir des publicités hors contexte à des utilisateurs sans méfiance. Avant que Google n'intervienne et n'agisse, l'ensemble du groupe d'applications menaçantes était disponible au téléchargement via le Google Play Store officiel. Selon les chercheurs, les applications avaient amassé plus de 14 millions d'installations et généré plus de 15 millions d'impressions quotidiennes collectivement. La plupart du trafic publicitaire provenait du Brésil - 21%, l'Indonésie et le Vietnam suivaient de près. Il a été déterminé qu'environ 7,7% du trafic provenait des États-Unis

Pour attirer les utilisateurs, la plupart des applications proposaient une émulation de jeux rétro tels que ceux disponibles sur les consoles Nintendo NES. Pour la plupart, cette fonctionnalité était intacte et RAINBOWMIX a effectivement tenu ses promesses, du moins au niveau de la surface. Le problème est que le véritable objectif de RAINBOWMIX est de diffuser des publicités OOC prétendant provenir de sources réputées comme YouTube ou Chrome, garantissant presque que pendant un certain temps, les utilisateurs concernés ne remarqueront pas qu'il se passe quelque chose de suspect.

Les pirates derrière RAINBOWMIX ont utilisé un logiciel «packer» pour contourner les mesures de sauvegarde du Google Play Store. Les applications étaient également équipées de divers déclencheurs pour les services et les récepteurs qui étaient codés pour se déclencher lors de certains événements tels que le démarrage du système, l'installation d'applications, chaque fois qu'un cordon de charge était branché ou déconnecté ou lorsque la connexion Internet changeait. Selon les scientifiques, cela a été fait comme une mesure anti-analyse. Quant aux publicités OOC, leur déclencheur était un service appelé «com.timuz.a», qui était maintenu en cours d'exécution par un wrapper - com.google.android.gms.common.license.a.

La communication avec l'infrastructure de commande et de contrôle (C&C, C2) était encodée en base 64, et une fois la communication établie, un SDK légitime - com.ironsource.sdk.handlers.aa, a été exploité pour diffuser des publicités toutes les 10 minutes. Le domaine du C2 à 'api.pythonexample [.] Com' est considéré par les chercheurs d'Infosec comme un site Web piraté. La même structure C2 a été utilisée pour les 240 applications RAINBOWMIX.

Pour maximiser la diffusion des publicités OOC et minimiser les chances de devenir trop évidentes, les pirates ont équipé les applications d'une fonction de surveillance lorsque l'écran de l'appareil compromis était allumé et éteint. Le scientifique a trouvé le code de cette activité caché dans une fausse classe Unity «com.unity.b».

Alors que toutes les applications RAINBOWMIX ont été supprimées du Play Store, les utilisateurs qui ont déjà téléchargé l'une d'entre elles doivent désinstaller manuellement les applications de leurs appareils.