RAINBOWMIX

Por GoldSparrow em Adware

Traduzir Para:

RAINBOWMIX é o nome dado pelos pesquisadores para um grupo de 240 aplicativos Android, projetados para fornecer anúncios OOC fora do contexto para usuários desavisados. Antes que o Google se apresentasse e agisse, todo o grupo de aplicativos ameaçadores estava disponível para download na loja oficial do Google Play. Segundo os pesquisadores, os aplicativos acumularam mais de 14 milhões de instalações e geraram mais de 15 milhões de impressões diárias coletivamente. A maior parte do tráfego de publicidade veio do Brasil - 21%, com a Indonésia e o Vietnã logo atrás. Cerca de 7,7% do tráfego foi determinado como proveniente dos EUA

Para atrair os usuários, a maioria dos aplicativos oferecia emulação para jogos retrô, tais como os disponíveis nos sistemas Nintendo NES. Na maior parte, essa funcionalidade estava intacta, e o RAINBOWMIX realmente cumpriu suas promessas, pelo menos em um nível superficial. O problema é que o verdadeiro objetivo do RAINBOWMIX é entregar anúncios OOC fingindo vir de fontes confiáveis, tais como o YouTube ou Chrome, quase garantindo que por um período, os usuários afetados não percebecem que algo suspeito estava acontecendo.

Os hackers por trás do RAINBOWMIX usaram um software 'empacotador' para contornar as medidas de proteção da Loja do Google Play. Os aplicativos também foram equipados com vários gatilhos para serviços e receptores que foram codificados para iniciar após certos eventos, tais como a inicialização do sistema, instalação de aplicativos, sempre que um cabo de carregamento fosse conectado ou desconectado ou quando a conexão com a Internet mudasse. Segundo os cientistas, isso foi feito como uma medida anti-análise. Quanto aos anúncios OOC, seu gatilho era um serviço chamado 'com.timuz.a', que era mantido em execução por um wrapper - com.google.android.gms.common.license.a.

A comunicação com a infraestrutura de Comando e Controle (C&C, C2) foi codificada na base 64 e, uma vez que a comunicação foi estabelecida, um SDK legítimo - com.ironsource.sdk.handlers.aa, foi explorado para entregar anúncios a cada 10 minutos. O domínio do C2 em 'api.pythonexample [.] Com' é considerado pelos pesquisadores da infosec um site hackeado. A mesma estrutura C2 foi usada para todos os 240 aplicativos RAINBOWMIX.

Para maximizar a entrega de anúncios OOC e minimizar as chances de se tornarem potencialmente muito óbvios, os hackers equiparam os aplicativos com uma função de monitoramento quando a tela do dispositivo comprometido era ligada e desligada. Os cientistas encontaram o código para essa atividade escondido em uma classe falsa do Unity 'com.unity.b.'

Embora todos os aplicativos RAINBOWMIX tenham sido eliminados da Loja do Google Play, os usuários que já fizeram o download de qualquer um deles devem desinstalar manualmente os aplicativos dos seus dispositivos.

Buscar

Mudar de região

RAINBOWMIX

Enviar o Comentário

Tendendo

'YouPorn' Email Scam

Safe Search Eng

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela