Търсене
Close this search box.

Десетки VPN приложения за Android превръщат телефоните в прокси

В десетки  безплатни VPN приложения в Google Play беше открито използване на зловреден комплект за разработка на софтуер, който превръща устройствата с Android в неволни прокси сървъри, вероятно използвани за киберпрестъпления и ботове за пазаруване.

Прокситата са устройства, които пренасочват интернет трафика през устройства, намиращи се в домовете на други отдалечени потребители, като правят трафика да изглежда легитимен и вероятността да бъде блокиран е по-малка.

Въпреки че имат легитимна употреба за пазарни проучвания, проверка на реклами и SEO, много киберпрестъпници ги използват, за да прикриват злонамерени дейности, включително рекламни измами, спам, фишинг, попълване на данни и разпръскване на пароли.

Потребителите могат доброволно да се регистрират в прокси услуги, за да получат парични или други възнаграждения в замяна, но някои от тези прокси услуги използват неетични и съмнителни средства, за да инсталират тайно своите инструменти за прокси на устройствата на хората.

При тайно инсталиране на прокси сървърите, жертвите могат да отдадат интернет честотната си лента без тяхно знание за престъпления и рискуват да имат правни проблеми, тъй като се явяват източник на злонамерена дейност.

Проксиране на Android VPN приложения

Доклад, публикуван днес от екипа за разузнаване на заплахи Satori на HUMAN, изброява 28 приложения в Google Play, които тайно превръщат устройствата с Android в прокси сървъри. От тези 28 приложения 17 са представяни за безплатен VPN софтуер.

Анализаторите на Satori съобщават, че всички нарушаващи правилата приложения са използвали комплект за разработка на софтуер (SDK) от LumiApps, който е съдържал „Proxylib“ – библиотека на Golang за извършване на проксирането.

През май 2023 г. HUMAN открива първото приложение, носещо PROXYLIB – безплатно VPN приложение за Android, наречено „Oko VPN“. По-късно изследователите откриха същата библиотека, използвана от услугата за монетизиране на приложения за Android на LumiApps.

„В края на май 2023 г. изследователите на Satori наблюдаваха активност в хакерски форуми и нови VPN приложения, които се позовават на SDK за монетизиране, lumiapps[.]io“, обяснява докладът на Satori.

„При по-нататъшно разследване екипът установи, че това SDK има абсолютно същата функционалност и използва същата сървърна инфраструктура като злонамерените приложения, анализирани в рамките на разследването на по-ранната версия на PROXYLIB. “

Последвалото разследване разкри набор от 28 приложения, които използват библиотеката ProxyLib, за да превръщат устройства с Android в проксита, които са изброени по-долу:

  1. Lite VPN
  2. Anims Keyboard
  3. Blaze Stride
  4. Byte Blade VPN
  5. Android 12 Launcher (by CaptainDroid)
  6. Android 13 Launcher (by CaptainDroid)
  7. Android 14 Launcher (by CaptainDroid)
  8. CaptainDroid Feeds
  9. Free Old Classic Movies (by CaptainDroid)
  10. Phone Comparison (by CaptainDroid)
  11. Fast Fly VPN
  12. Fast Fox VPN
  13. Fast Line VPN
  14. Funny Char Ging Animation
  15. Limo Edges
  16. Oko VPN
  17. Phone App Launcher
  18. Quick Flow VPN
  19. Sample VPN
  20. Secure Thunder
  21. Shine Secure
  22. Speed Surf
  23. Swift Shield VPN
  24. Turbo Track VPN
  25. Turbo Tunnel VPN
  26. Yellow Flash VPN
  27. VPN Ultra
  28. Run VPN

LumiApps е платформа за монетизиране на приложения за Android, която заявява, че нейният SDK използва IP адреса на устройството, за да зарежда уеб страници във фонов режим и да изпраща извлечените данни на компаниите.

„Lumiapps помага на компаниите да събират информация, която е публично достъпна в интернет. Тя използва IP адреса на потребителя, за да зареди във фонов режим няколко уебстраници от добре познати уебсайтове“, се казва на уебсайта на Lumiapps.

„Това се прави по начин, който никога не прекъсва работата на потребителя и е в пълно съответствие с GDPR/CCPA. След това уебстраниците се изпращат на компании, които ги използват, за да подобрят своите бази данни, предлагайки по-добри продукти, услуги и цени.“

Не е ясно обаче дали разработчиците на безплатни приложения са знаели, че SDK превръща устройствата на техните потребители в прокси сървъри, които могат да се използват за нежелани дейности.

HUMAN смята, че злонамерените приложения са свързани с руския доставчик на прокси услуги  „Asocks“, след като е наблюдавала връзки, направени към уебсайта на доставчика на прокси услуги. Услугата „Asocks“ обикновено се популяризира от киберпрестъпниците в хакерски форуми.

През януари 2024 г. LumiApps пуска втората основна версия на своя SDK заедно с Proxylib v2. Според фирмата по този начин са решени „проблеми с интеграцията“ и сега тя поддържа проекти на Java, Kotlin и Unity.

След доклада на HUMAN Google премахна всички нови и останали приложения, използващи SDK на LumiApps, от Play Store през февруари 2024 г. и актуализира Google Play Protect, за да открие библиотеките на LumiApp, използвани в приложенията.

Междувременно много от изброените по-горе приложения вече са отново достъпни в магазина Google Play, вероятно след като разработчиците им са премахнали нарушаващия SDK. Понякога те са били публикувани от различни акаунти на разработчици, което потенциално показва предишни забрани на акаунти.

 

Ако сте използвали някое от изброените приложения, актуализирането до най-новата версия, която не използва конкретния SDK, ще спре прокси активността. Въпреки това, от голяма доза предпазливост, може би е по-безопасно да ги премахнете напълно.

Ако приложението е било премахнато от Google Play и не съществува безопасна версия, ви препоръчваме да го деинсталирате. В този случай Play Protect също трябва да предупреди потребителите.

И накрая, вероятно е по-безопасно да се използват платени VPN приложения вместо безплатни услуги, тъй като много продукти от последната категория са по-склонни да прилагат непреки системи за монетизация, включително събиране/продажба на данни, реклами и записване в прокси услуги.

 

 

Източник: e-security.bg

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
Бъдете социални
Още по темата
08/04/2024

Google въвежда обновена мре...

Почти една година след като беше...
03/04/2024

Google поправя два нулеви д...

Google е отстранила две 0-Day  грешки...
22/03/2024

Индия е засегната от кампан...

Кампания за зловреден софтуер, предлагаща зловреден...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!