Крупный мошеннический рекламный бизнес, недавно сорванный с помощью более чем 240 приложений в Google Play, приносил прибыль, которая могла составлять более 150 000 долларов в день.
В течение нескольких месяцев армия обманчивых приложений, в основном низкокачественных игр или украденных эмуляторов Nintendo Entertainment System (NES), присутствовала в официальном магазине Android, установив более 14 миллионов экземпляров.
Хотя их поведение не было злонамеренным, они мешали взаимодействию с пользователем, отображая неконтекстную (OOC) рекламу, которая, по всей видимости, исходила из законных приложений на телефоне.
Навязчивая реклама приносит хорошую прибыль
Исследователи безопасности из компании White Ops, занимающейся защитой от ботов и предотвращением мошенничества, назвали этот ассортимент приложений RainbowMix из-за того, что 8-16-битные игры распространяют агрессивную рекламу .OOC-объявления не новы, но в этом году они получили широкое распространение и появляются на экране, когда пользователь не активен в приложении, которое их генерирует.
В случае с RainbowMix приложения притворяются, что они из популярных приложений и платформ социальных сетей, таких как YouTube и Chrome.
Ниже приведен пример, любезно предоставленный White Ops, где реклама выдает себя за YouTube и занимает весь экран телефона:
Габриэль Цирлиг, ведущий исследователь RainbowMix, говорит, что на пике популярности эта операция собирала более 15 миллионов рекламных показов в день. После 21 августа White Ops постоянно видела такое количество ежедневных рекламных показов от коллектива приложения RainbowMix.
Хотя перевести это в прибыль сложно, даже если бы мошенники получали один цент за просмотр, они могли бы заработать не менее 150 000 долларов в лучшие дни.
В сегодняшней статье исследователь говорит, что код для OOC-рекламы присутствовал в пакетах из законных комплектов разработки программного обеспечения (SDK) для Android и Unity.
Это помогло им оставаться незамеченными при проверке исследователями или механизмами статического анализа. Однако низкому уровню обнаружения способствовало использование упаковщика Tencent Legu.
«Все приложения RAINBOWMIX содержат различные версии упаковщика Tencent Legu. Хотя некоторые приложения обнаруживаются как вредоносные на платформах с множественным сканированием, эти обнаружения часто расплывчаты и относятся только к использованию конкретного упаковщика, а не к их поведению при распаковке »- White Ops
Присмотревшись к приложениям, Cirlig заметила в их манифесте (документе с подробностями сборки приложения), что сервисы и получатели реагировали на большее количество триггеров, чем обычно:
подключение при загрузке системы изменяет подключение / выход кабеля для зарядки установка приложений
Исследователь говорит, что код, ответственный за это, находился в знакомых пакетах, но не имел никакого смысла в приложениях. Он считает, что это был слой обфускации, созданный для создания путаницы во время анализа.
В приложениях RainbowMix был код, отслеживающий текущее состояние экрана (включено / выключено). Таким образом, показ рекламы происходил в нужное время, а показы были действительными, что увеличивало доход.
Сервер управления и контроля (C2), инструктирующий приложение RainbowMix отображать рекламу OOC, был взломанным доменом (pythonexample [.] Com), который больше не обслуживает контент, но активен до 27 февраля 2021 года.
Cirlig обнаружила, что полезная нагрузка JSON была загружена с сервера C2 сразу после установки приложения RainbowMix. В файле определялась рекламная сеть и частота показа на телефоне (каждые 10 минут).
Приложения RainbowMix присутствовали в магазине Android Play около года, и Google сразу удалил их все в конце августа после ответственного сообщения White Ops.
