Peste 15 aplicații VPN gratuite de pe Google Play au fost găsite folosind un kit de dezvoltare de software rău intenționat care a transformat dispozitivele Android în proxy-uri rezidențiale neștiutoare, probabil folosite pentru activități de cybercrime și pentru roboți de cumpărături.
Proxy-urile rezidențiale sunt dispozitive care direcționează traficul de internet prin dispozitive situate în casele altor utilizatori la distanță, făcând ca traficul să pară legitim și mai puțin probabil să fie blocat.
În timp ce au utilizări legitime pentru cercetarea de piață, verificarea reclamelor și SEO, mulți infractori cibernetici le folosesc pentru a ascunde activități răuvoitoare, inclusiv fraudă publicitară, spam, phishing, stuffing de credențiale și pulverizare de parole.
Utilizatorii se pot înregistra voluntar pe serviciile de proxy pentru a obține recompense monetare sau alte recompense în schimb, dar unele dintre aceste servicii de proxy folosesc mijloace etice și dubioase pentru a-și instala în mod secret instrumentele de proxy pe dispozitivele oamenilor.
Când sunt instalate în secret, victimele își vor avea lățimea de bandă de internet preluată fără știrea lor și riscul de a avea probleme legale din cauza apariției ca sursa unei activități răuvoitoare.
Un raport publicat astăzi de echipa de inteligență asupra amenințărilor Satori a HUMAN listează 28 de aplicații de pe Google Play care au transformat în secret dispozitivele Android în servere proxy. Dintre aceste 28 de aplicații, 17 au fost prezentate ca software VPN gratuit.
Analiștii de la Satori raportează că aplicațiile vinovate foloseau toate un kit de dezvoltare de software (SDK) oferit de LumiApps care conținea ‘Proxylib,’ o bibliotecă Golang pentru a efectua proxying-ul.
HUMAN a descoperit prima aplicație purtătoare PROXYLIB în mai 2023, o aplicație VPN Android gratuită numită ‘Oko VPN.’ Cercetătorii au descoperit ulterior aceeași bibliotecă folosită de serviciul de monetizare a aplicațiilor Android LumiApps.
‘La sfârșitul lunii mai 2023, cercetătorii de la Satori au observat activitate pe forumurile de hackeri și noi aplicații VPN care făceau referire la un SDK de monetizare, lumiapps[.]io,’ explică raportul Satori.
‘După o investigație mai amănunțită, echipa a determinat că acest SDK are exact aceeași funcționalitate și folosește aceeași infrastructură de servere ca aplicațiile malițioase analizate ca parte a investigației în versiunea anterioară a PROXYLIB.’
O investigație ulterioară a relevat un set de 28 de aplicații care au utilizat biblioteca ProxyLib pentru a converti dispozitivele Android în proxy-uri, care sunt listate mai jos:
LumiApps este o platformă de monetizare a aplicațiilor Android care afirmă că SDK-ul său va folosi adresa IP a dispozitivului pentru a încărca pagini web în fundal și a trimite datele recuperate către companii.
‘Lumiapps ajută companiile să adune informații care sunt public disponibile pe internet. Folosește adresa IP a utilizatorului pentru a încărca mai multe pagini web în fundal de pe site-uri bine-cunoscute,’ se arată pe site-ul LumiApps.
‘Acest lucru se face într-un mod care nu întrerupe niciodată utilizatorul și respectă în totalitate GDPR/CCPA. Paginile web sunt apoi trimise către companii, care le folosesc pentru a-și îmbunătăți bazele de date, oferind produse, servicii și prețuri mai bune.’
Cu toate acestea, nu este clar dacă dezvoltatorii de aplicații gratuite știau că SDK-ul transforma dispozitivele utilizatorilor lor în servere proxy care puteau fi folosite pentru activități nedorite.
HUMAN crede că aplicațiile malițioase sunt legate de furnizorul rus de servicii de proxy rezidențiale ‘Asocks’ după ce au observat conexiuni făcute către site-ul furnizorului de proxy. Serviciul Asocks este promovat în mod obișnuit infractorilor cibernetici pe forumurile de hacking.
În ianuarie 2024, LumiApps a lansat a doua versiune majoră a SDK-ului său împreună cu Proxylib v2. Conform firmei, acest lucru a rezolvat ‘problemele de integrare,’ și acum suportă proiecte Java, Kotlin și Unity.
În urma raportului HUMAN, Google a eliminat orice aplicații noi și rămase care foloseau SDK-ul LumiApps din Magazinul Play în februarie 2024 și a actualizat Google Play Protect pentru a detecta bibliotecile LumiApp folosite în aplicații.
Între timp, multe aplicații enumerate mai sus sunt acum disponibile din nou pe Google Play store, probabil după ce dezvoltatorii lor au eliminat SDK-ul vinovat. Acestea au fost uneori publicate din conturi de dezvoltatori diferite, indicând potențial interdicții anterioare ale conturilor.
BleepingComputer a contactat Google pentru un comentariu cu privire la starea aplicațiilor disponibile în prezent care folosesc aceleași nume și dacă sunt acum sigure, dar încă nu am primit un răspuns.
Dacă ați folosit una dintre aplicațiile listate, actualizarea la cea mai nouă versiune care nu utilizează acel SDK particular va opri activitatea de proxying. Cu toate acestea, dintr-o exces de precauție, ar putea fi mai sigur să le eliminați în întregime.
Dacă aplicația a fost eliminată din Google Play și nu există o versiune sigură, vi se recomandă să o dezinstalați. Play Protect ar trebui să avertizeze și utilizatorii în acest caz.
În cele din urmă, este probabil mai sigur să folosiți aplicații VPN plătite în loc de servicii gratuite, deoarece multe produse din ultima categorie sunt mai dornice să implementeze sisteme de monetizare indirectă, inclusiv colectarea/vânzarea de date, publicitate și înscrierea în servicii de proxy.
Leave a Reply