Ces applications donnent l’impression que les publicités proviennent en réalité d’applications populaires et de plateformes de médias sociaux, dont Youtube et Chrome.

White Ops a baptisé cette enquête "RAINBOWMIX", en référence aux jeux colorés d’il y a quelques années. L’assortiment d’applications RAINBOWMIX a été téléchargé plus de 14 millions de fois et, à son apogée, a enregistré plus de 15 millions d’impressions publicitaires par jour.

De prime abord, les applications RAINBOWMIX semblent fonctionner normalement, bien que leur qualité laisse à désirer. Elles ne sont souvent que des émulateurs de Nintendo (NES) copiées via des sources légitimes ou des jeux de mauvaise qualité, toutes les applications associées à l’opération RAINBOWMIX ont été retirées du Google Play Store.

Bien que ce ne soit pas une tactique très sophistiquée, l’utilisation de “packers”* a permis à ces applications de contourner certains protocoles de sécurité.

*Un “packer” est un logiciel qui permet de gagner un peu de place et de dérouter la charge utile finale. Le moment venu, le packer "déballe" ce qu’il contient. Ils sont maintenant fréquemment utilisés pour la protection de la propriété intellectuelle, qu’il s’agisse de biens de jeu... ou de codes malveillants qui tentent de contourner les antivirus.

Le code responsable de ces annonces hors contexte se trouve dans des paquets qui appartiennent à des SDK légitimes, tels que Unity et Android. Toutes les applications découvertes semblent avoir un taux de détection assez faible par les antivirus, en grande partie à cause du packer utilisé.