RAINBOWMIX

RAINBOWMIX ist der Name der Forscher für eine Gruppe von 240 Android-Anwendungen gegeben haben, die ahnungslosen Benutzern OOC-Werbung außerhalb des Kontexts liefern sollen. Bevor Google aktiv wurde, stand die gesamte Gruppe bedrohlicher Anwendungen über den offiziellen Google Play Store zum Download zur Verfügung. Den Forschern zufolge hatten die Anwendungen über 14 Millionen Installationen angehäuft und zusammen über 15 Millionen tägliche Impressionen generiert. Der größte Teil des Werbeverkehrs kam aus Brasilien - 21%, gefolgt von Indonesien und Vietnam. Rund 7,7% des Verkehrs stammten aus den USA.

Um Benutzer anzulocken, boten die meisten Anwendungen eine Emulation für Retro-Spiele, wie sie auf den Nintendo NES-Systemen verfügbar sind. Diese Funktionalität war größtenteils intakt, und RAINBOWMIX hat tatsächlich seine Versprechen erfüllt, zumindest auf oberflächlicher Ebene. Das Problem ist, dass der wahre Zweck von RAINBOWMIX darin besteht, OOC-Werbung zu liefern, die vorgibt, aus seriösen Quellen wie YouTube oder Chrome zu stammen, und fast garantiert, dass die betroffenen Benutzer für einen bestimmten Zeitraum nicht bemerken, dass etwas Verdächtiges vor sich geht.

Die Hacker hinter RAINBOWMIX verwendeten eine Packer-Software, um die Schutzmaßnahmen des Google Play Store zu umgehen. Die Anwendungen waren auch mit verschiedenen Auslösern für Dienste und Empfänger ausgestattet, die so codiert waren, dass sie bei bestimmten Ereignissen wie Systemstart, Anwendungsinstallation, bei jedem Ein- oder Ausstecken eines Ladekabels oder bei Änderung der Internetverbindung ausgelöst wurden. Nach Angaben der Wissenschaftler wurde dies als Anti-Analyse-Maßnahme durchgeführt. Der Auslöser für die OOC-Anzeigen war ein Dienst namens "com.timuz.a", der von einem Wrapper - com.google.android.gms.common.license.a - ausgeführt wurde.

Die Kommunikation mit der Command-and-Control-Infrastruktur (C & C, C2) wurde Base-64-codiert, und sobald die Kommunikation hergestellt war, wurde ein legitimes SDK - com.ironsource.sdk.handlers.aa - genutzt, um alle 10 Minuten Werbung zu liefern. Die Domain des C2 unter 'api.pythonexample [.] Com' wird von den Infosec-Forschern als gehackte Website angesehen. Für alle 240 RAINBOWMIX-Anwendungen wurde dieselbe C2-Struktur verwendet.

Um die Zustellung der OOC-Werbung zu maximieren und die Wahrscheinlichkeit zu minimieren, dass sie möglicherweise zu offensichtlich wird, haben die Hacker die Anwendungen mit einer Überwachungsfunktion ausgestattet, wenn der Bildschirm des gefährdeten Geräts ein- und ausgeschaltet wurde. Der Wissenschaftler fand den Code für diese Aktivität in einer gefälschten Unity-Klasse 'com.unity.b' versteckt.

Während alle RAINBOWMIX-Anwendungen aus dem Play Store gelöscht wurden, müssen Benutzer, die bereits eine von ihnen heruntergeladen haben, die Anwendungen manuell von ihren Geräten deinstallieren.