RAINBOWMIX
RAINBOWMIX is de naam van de onderzoekers voor een groep van 240 Android-applicaties die zijn ontworpen om out-of-context OOC-advertenties te leveren aan nietsvermoedende gebruikers. Voordat Google optrad en actie ondernam, was de hele groep bedreigende applicaties beschikbaar om te downloaden via de officiële Google Play Store. Volgens de onderzoekers hadden de applicaties meer dan 14 miljoen installaties verzameld en gezamenlijk meer dan 15 miljoen dagelijkse impressies gegenereerd. Het meeste advertentieverkeer kwam uit Brazilië - 21%, gevolgd door Indonesië en Vietnam. Ongeveer 7,7% van het verkeer was afkomstig uit de VS.
Om gebruikers te lokken, boden de meeste applicaties emulatie aan voor retro-games, zoals die beschikbaar zijn op de Nintendo NES-systemen. Deze functionaliteit was grotendeels intact, en RAINBOWMIX heeft inderdaad zijn beloften waargemaakt, althans op het oppervlak. Het probleem is dat het echte doel van RAINBOWMIX is om OOC-advertenties te leveren die doen alsof ze afkomstig zijn van betrouwbare bronnen zoals YouTube of Chrome, wat bijna garandeert dat de getroffen gebruikers gedurende een bepaalde periode niet zullen merken dat er iets verdachts aan de hand is.
De hackers achter RAINBOWMIX gebruikten 'packer'-software om de beveiligingsmaatregelen van de Google Play Store te omzeilen. De applicaties waren ook uitgerust met verschillende triggers voor services en ontvangers die waren gecodeerd om te starten bij bepaalde gebeurtenissen, zoals het opstarten van het systeem, de installatie van applicaties, telkens wanneer een laadsnoer werd aangesloten of verwijderd of wanneer de internetverbinding werd gewijzigd. Volgens de wetenschappers gebeurde dit als een anti-analysemaatregel. Wat betreft de OOC-advertenties, hun trigger was een service genaamd 'com.timuz.a', die werd uitgevoerd door een wrapper - com.google.android.gms.common.license.a.
De communicatie met de Command-and-control (C&C, C2) -infrastructuur was base-64-gecodeerd en toen de communicatie eenmaal tot stand was gebracht, werd een legitieme SDK - com.ironsource.sdk.handlers.aa - misbruikt om elke 10 minuten advertenties af te leveren. Het domein van de C2 op 'api.pythonexample [.] Com' wordt door de infosec-onderzoekers beschouwd als een gehackte website. Dezelfde C2-structuur werd gebruikt voor alle 240 RAINBOWMIX-applicaties.
Om de levering van de OOC-advertenties te maximaliseren en de kans te verkleinen dat ze mogelijk te voor de hand liggend zouden worden, rustten de hackers de applicaties uit met een bewakingsfunctie wanneer het scherm van het gecompromitteerde apparaat werd in- en uitgeschakeld. De wetenschapper vond de code voor deze activiteit verborgen in een nep-klasse van Unity 'com.unity.b'.
Hoewel alle RAINBOWMIX-applicaties uit de Play Store zijn verwijderd, moeten gebruikers die er al een hebben gedownload de applicaties handmatig van hun apparaten verwijderen.
