Les applications RAINBOWMIX de Google Play servent des millions de victimes de fraude publicitaire
Collectivement, 240 applications Android frauduleuses - se faisant passer pour des émulateurs de jeux rétro - représentent 14 millions d'installations.

Les applications RAINBOWMIX de Google Play servent des millions de victimes de fraude publicitaire

Collectivement, 240 applications Android frauduleuses - se faisant passer pour des émulateurs de jeux rétro - représentent 14 millions d'installations.

Collectivement, 240 applications Android frauduleuses – se faisant passer pour des émulateurs de jeux rétro – représentent 14 millions d’installations.

Des chercheurs de White Ops ont  découvert une arnaque visant à diffuser des millions d’annonces hors contexte (OOC) via un groupe de plus de 240 applications Android sur le Google Play Store officiel, qui, selon l’équipe, généraient collectivement plus de 15 millions d’impressions par jour à leur apogée.

Les applications ont depuis été purgées de Google Play, mais les utilisateurs doivent également les supprimer de leur téléphone. La liste complète est disponible ici .

Les applications fonctionnaient comme elles étaient censées le faire, pour la plupart, ce qui les rend d’autant plus efficaces pour se cacher à la vue de tous. La plupart étaient de simples jeux rétro comme les émulateurs Nintendo NES et utilisaient un logiciel « packer » pour contourner les protections. Les applications diffuseraient ensuite   des publicités OOC déguisées pour apparaître comme si elles provenaient de sources réputées telles que Chrome et YouTube, selon l’équipe de White Ops.

«Le principal outil de l’arsenal du développeur de logiciels publicitaires sont les packers», a déclaré Gabriel Cirlig, principal analyste du renseignement sur les menaces pour White Ops, à Threatpost. «Ils masquent et permettent à une menace d’exister sous le couvert de la protection de la propriété intellectuelle. Cependant, une fois qu’ils avaient réussi les [protections] antivirus d’un utilisateur, les publicités OOC pouvaient rester non détectées pendant un certain temps en prétendant provenir d’applications populaires et de plates-formes de médias sociaux, telles que YouTube et Chrome. Pour cette raison, les utilisateurs pensent que les publicités proviennent de plates-formes légitimes et ne sont pas suspectes. « 

L’équipe de chercheurs de White Ops, dont Cirling, Michael Gethers, Lisa Gansky et Dina Haines, – qui a nommé l’enquête «RAINBOWMIX», inspirée par la palette de couleurs 8-16 bits exécutée dans les applications de jeux rétro – a constaté que ces applications frauduleuses étaient téléchargé plus de 14 millions de fois par des utilisateurs sans méfiance.

Comment RAINBOWMIX a infiltré les appareils des utilisateurs 

Les revues des différentes applications montrent que le groupe RAINBOWMIX n’a ​​pas fait l’objet de beaucoup d’attention.

«La plupart des applications RAINBOWMIX ont une« courbe de distribution des notes en forme de C (avec principalement des critiques à une et cinq étoiles, ce qui est courant avec les applications suspectes) », a rapporté l’équipe.

Toutes les applications RAINBOWMIX étaient chargées avec le packer Tencent Legu, ajoutent-ils, notant que certaines ont donné des indices sur leur intention néfaste, si vous avez regardé assez attentivement.

«Il convient de noter que même emballées, ces applications présentent un comportement potentiellement suspect correspondant au composant interstitiel des  SDK publicitaires , qui sont renommés avec des étiquettes qui pointent vers des applications bien connues», ont déclaré les chercheurs.

Comment RAINBOWMIX a trompé le système

L’équipe a également remarqué des déclencheurs pour les services et les récepteurs dans les manifestes des applications qui n’auraient pas dû être là, y compris au démarrage du système, lors des changements de connexion, lorsqu’un accord de charge est branché ou déconnecté, et pendant les installations d’applications. L’évaluation est que ceux-ci ont été utilisés pour «confondre les analystes et tromper les moteurs d’analyse statique», lit-on dans le rapport.

Les analystes ont pu déterminer que le déclencheur des publicités OOC «réside dans le service com.timuz.a», ajoutant qu’il était présent dans chacune des applications du groupe RAINBOWMIX.

« Le récepteur com.google.android.gms.common.license.a est un simple wrapper qui essaie de maintenir le service com.timuz.a en cours d’exécution et configure la boucle publicitaire hors contexte. Il est contenu dans tous les lots de l’annexe », indique le rapport.

Le service com.timuz.a reçoit ses commandes d’un serveur de commande et de contrôle (C2), les chercheurs ont pu le découvrir, bien que l’URL C2 soit enfouie derrière le codage base64. Une fois cette connexion avec le C2 établie, un autre service prend le relais (com.ironsource.sdk.handlers.aa) et tente de diffuser une annonce OOC toutes les 10 minutes, selon les conclusions du rapport.

« Il est important de noter que si com.ironsource.sdk.handlers.aa est un SDK légitime, ironSource est peu probable impliqué ou conscient de l’abus », ont déclaré les chercheurs.

Le domaine C2 (api [.] Pythonexample [.] Com) a quant à lui été identifié par le groupe comme un « site Web probablement piraté ». La recherche a montré que le site a été publié avec une question sur un forum en ligne il y a deux ans, mais qu’il est maintenant par défaut une page Ngnix.

Une fois la connexion C2 établie, une URL secondaire (hxxp: // api [.] Pythonexample [.] Com / xyyx? Pn = com.androidapk.gbaemulator) est contactée et une charge utile JSON est téléchargée. Après cela, les chercheurs ont pu voir des publicités lues sur un appareil compromis, avec rien qu’une petite icône pour alerter que l’utilisateur obtenait des données d’une autre application que celle qu’il exécutait.

« Il est utilisé comme C2 du SDK publicitaire, qui détermine le réseau publicitaire à utiliser ainsi que la fréquence des interstitiels », indique le rapport. «La même architecture C2 est utilisée dans toutes les applications RAINBOWMIX identifiées dans cette enquête.»

Les applications RAINBOWMIX ont également pu augmenter le nombre de livraisons publicitaires en surveillant le moment où les utilisateurs allumaient et éteignaient leur écran, ont également découvert les analystes. «Le code responsable de la détection des événements d’activation / désactivation de l’écran a été placé dans une fausse classe Unity ‘com.unity.b.’», Ont-ils expliqué.

L’impact des publicités RAINBOWMIX et OOC

En dehors du facteur de nuisance pour les utilisateurs, la diffusion d’annonces OOC nuit à tous les annonceurs légitimes qui comptent sur les consommateurs pour faire confiance aux messages qu’ils consomment en ligne, a souligné White Ops.

«Outre l’aspect frauduleux habituel de la diffusion d’annonces qui n’ont pas le même impact que les annonces légitimes, les utilisateurs les rejetant sur-le-champ, elles réduisent également la confiance de la marque en se faisant passer pour des applications légitimes qui ne spammeraient jamais l’utilisateur d’une manière telle que celui présenté », a déclaré Cirlig.

L’équipe a constaté que la majorité (près de 21%) du trafic provenait du Brésil, suivi de près par l’Indonésie et le Vietnam. Les États-Unis représentaient 7,7% du trafic vers les publicités RAINBOWMIX OOC.

Mots clés: publicités hors contexte, publicités OOC, logiciels malveillants, RAINBOWMIX, White Ops, Google Play, émulateur, Nintendo, jeux rétro, palette de couleurs 8-16 bits, Android, google play, publicités malveillantes, fraude publicitaire, opérations blanches