Threat Database Adware RAINBOWMIX

RAINBOWMIX

RAINBOWMIX è il nome dei ricercatori di un gruppo di 240 applicazioni Android progettate per fornire pubblicità OOC fuori contesto a utenti ignari. Prima che Google intervenisse e agisse, l'intero gruppo di applicazioni minacciose era disponibile per il download tramite il Google Play Store ufficiale. Secondo i ricercatori, le applicazioni avevano accumulato oltre 14 milioni di installazioni e generato complessivamente oltre 15 milioni di impressioni giornaliere. La maggior parte del traffico pubblicitario proveniva dal Brasile - 21%, seguito da Indonesia e Vietnam. È stato stabilito che circa il 7,7% del traffico provenisse dagli Stati Uniti

Per attirare gli utenti, la maggior parte delle applicazioni offriva l'emulazione di giochi retrò come quelli disponibili sui sistemi Nintendo NES. Per la maggior parte, questa funzionalità era intatta e RAINBOWMIX ha effettivamente mantenuto le sue promesse, almeno a livello superficiale. Il problema è che il vero scopo di RAINBOWMIX è quello di fornire annunci pubblicitari OOC che fingono di provenire da fonti affidabili come YouTube o Chrome, quasi garantendo che per un periodo gli utenti interessati non si accorgeranno che sta succedendo qualcosa di sospetto.

Gli hacker dietro RAINBOWMIX hanno utilizzato un software "packer" per aggirare le misure di salvaguardia del Google Play Store. Le applicazioni erano inoltre dotate di vari trigger per servizi e ricevitori codificati per avviarsi a determinati eventi come l'avvio del sistema, l'installazione dell'applicazione, ogni volta che un cavo di ricarica veniva collegato o scollegato o quando la connessione Internet cambiava. Secondo gli scienziati, ciò è stato fatto come misura anti-analisi. Per quanto riguarda gli annunci OOC, il loro trigger era un servizio chiamato "com.timuz.a", che veniva mantenuto in esecuzione da un wrapper - com.google.android.gms.common.license.a.

La comunicazione con l'infrastruttura di comando e controllo (C&C, C2) era codificata in base 64 e, una volta stabilita la comunicazione, è stato sfruttato un SDK legittimo, com.ironsource.sdk.handlers.aa, per pubblicare annunci ogni 10 minuti. Il dominio del C2 in "api.pythonexample [.] Com" è considerato dai ricercatori di infosec un sito Web compromesso. La stessa struttura C2 è stata utilizzata per tutte le 240 applicazioni RAINBOWMIX.

Per massimizzare la consegna degli annunci OOC e ridurre al minimo le possibilità di diventare potenzialmente troppo evidenti, gli hacker hanno dotato le applicazioni di una funzione di monitoraggio quando lo schermo del dispositivo compromesso è stato acceso e spento. Lo scienziato ha trovato il codice per questa attività nascosto in una falsa classe Unity "com.unity.b".

Sebbene tutte le applicazioni RAINBOWMIX siano state eliminate definitivamente dal Play Store, gli utenti che ne hanno già scaricato una devono disinstallare manualmente le applicazioni dai propri dispositivi.

Tendenza

I più visti

Caricamento in corso...