Threat Database Adware RAINBOWMIX

RAINBOWMIX

RAINBOWMIX er forskernes navn til en gruppe på 240 Android-applikationer designet til at levere OOC-annoncer uden for kontekst til intetanende brugere. Før Google trådte op og tog skridt, var hele gruppen af truende applikationer tilgængelig til download via den officielle Google Play-butik. Ifølge forskerne havde ansøgningerne samlet over 14 millioner installationer og genereret over 15 millioner daglige indtryk samlet. Mest reklametrafik kom fra Brasilien - 21%, hvor Indonesien og Vietnam fulgte tæt efter. Omkring 7,7% af trafikken var bestemt til at være fra USA

For at lokke brugere tilbød de fleste af applikationerne emulering til retro-spil som dem, der er tilgængelige på Nintendo NES-systemer. For det meste var denne funktionalitet intakt, og RAINBOWMIX leverede faktisk sine løfter, i det mindste på overfladeniveau. Problemet er, at det virkelige formål med RAINBOWMIX er at levere OOC-reklamer, der foregiver at komme fra velrenommerede kilder som YouTube eller Chrome, hvilket næsten garanterer, at de berørte brugere i en periode ikke vil bemærke, at noget mistænkeligt foregår.

Hackerne bag RAINBOWMIX brugte en 'packer'-software til at omgå Google Play-butiks beskyttelsesforanstaltninger. Applikationerne var også udstyret med forskellige udløsere til tjenester og modtagere, der blev kodet til at starte ved visse begivenheder såsom systemstart, applikationsinstallation, hver gang en opladningsledning blev tilsluttet eller ud, eller når internetforbindelsen blev ændret. Ifølge forskerne blev dette gjort som en anti-analyse foranstaltning. Hvad angår OOC-reklamer, var deres udløser en tjeneste kaldet 'com.timuz.a', som blev holdt kørende af en indpakning - com.google.android.gms.common.license.a.

Kommunikation med Command-and-control (C&C, C2) -infrastrukturen var kodet til base-64, og når kommunikationen var oprettet, blev en legitim SDK - com.ironsource.sdk.handlers.aa udnyttet til at levere reklamer hvert 10. minut. Domænet for C2 ved 'api.pythonexample [.] Com' betragtes af infosec-forskerne som et hacket websted. Den samme C2-struktur blev brugt til alle 240 RAINBOWMIX-applikationer.

For at maksimere OOC-annoncernes levering og minimere chancerne for at blive for åbenlyst potentielt udstyrede hackerne applikationerne med en overvågningsfunktion, når den kompromitterede enheds skærm blev tændt og slukket. Forskeren fandt koden for denne aktivitet skjult i en falsk Unity-klasse 'com.unity.b.'

Mens alle RAINBOWMIX-applikationerne blev fjernet fra Play Butik, skal brugere, der allerede har downloadet nogen af dem, afinstallere applikationerne fra deres enheder manuelt.

Trending

Mest sete

Indlæser...