RAINBOWMIX

RAINBOWMIX es el nombre de los investigadores para un grupo de 240 aplicaciones de Android diseñadas para entregar anuncios OOC fuera de contexto a usuarios desprevenidos. Antes de que Google diera un paso al frente y tomara medidas, todo el grupo de aplicaciones amenazantes estaba disponible para descargar a través de la tienda oficial de Google Play. Según los investigadores, las aplicaciones habían acumulado más de 14 millones de instalaciones y generado más de 15 millones de impresiones diarias en conjunto. La mayor parte del tráfico publicitario provino de Brasil, 21%, seguido de cerca por Indonesia y Vietnam. Se determinó que alrededor del 7.7% del tráfico provenía de EE. UU.

Para atraer a los usuarios, la mayoría de las aplicaciones ofrecían emulación para juegos retro como los que están disponibles en los sistemas Nintendo NES. En su mayor parte, esta funcionalidad estaba intacta, y RAINBOWMIX cumplió sus promesas, al menos a nivel superficial. El problema es que el verdadero propósito de RAINBOWMIX es entregar anuncios OOC que pretenden provenir de fuentes confiables como YouTube o Chrome, casi garantizando que por un período, los usuarios afectados no notarán que algo sospechoso está sucediendo.

Los piratas informáticos detrás de RAINBOWMIX utilizaron un software "empaquetador" para eludir las medidas de protección de la tienda Google Play. Las aplicaciones también estaban equipadas con varios activadores para servicios y receptores que estaban codificados para iniciarse en ciertos eventos, como el inicio del sistema, la instalación de la aplicación, cada vez que se enchufaba o desconectaba un cable de carga o cuando cambiaba la conexión a Internet. Según los científicos, esto se hizo como una medida anti-análisis. En cuanto a los anuncios OOC, su disparador fue un servicio llamado 'com.timuz.a', que se mantuvo en ejecución mediante un contenedor: com.google.android.gms.common.license.a.

La comunicación con la infraestructura de comando y control (C&C, C2) estaba codificada en base 64 y, una vez establecida la comunicación, se aprovechó un SDK legítimo, com.ironsource.sdk.handlers.aa, para entregar anuncios cada 10 minutos. El dominio del C2 en 'api.pythonexample [.] Com' es considerado por los investigadores de infosec como un sitio web pirateado. Se utilizó la misma estructura C2 para las 240 aplicaciones de RAINBOWMIX.

Para maximizar la entrega de los anuncios de OOC y minimizar las posibilidades de que se vuelvan demasiado obvios, los piratas informáticos equiparon las aplicaciones con una función de monitoreo cuando la pantalla del dispositivo comprometido se encendía y apagaba. El científico encontró el código de esta actividad escondido en una clase de Unity falsa 'com.unity.b'.

Si bien todas las aplicaciones de RAINBOWMIX fueron eliminadas de Play Store, los usuarios que ya hayan descargado alguna de ellas deben desinstalar las aplicaciones de sus dispositivos manualmente.