Поделиться
Бесплатные VPN-приложения для Android превращают смартфоны в прокси-серверы под контролем киберпреступников
28 приложений, из которых 17 выдавались за VPN-средства, превращали конечные устройства в прокси-серверы, которые использовались киберкриминалом.
По-домашнему
В Google Play выявили почти три десятка приложений, созданных с использованием вредоносного набора инструментов, которые превращали смартфоны под управлением Android в «домашние» прокси-устройства, по-видимому, использовавшиеся злоумышленниками в криминальных целях.
Домашними прокси называют устройства, через которые перенаправляется сетевой трафик, предназначающийся для других удаленных пользователей. Такой трафик выглядит более легитимным, что снижает вероятность его блокировки.
Такие прокси часто используются для легитимных задач - исследований рынка, тестирования рекламы и SEO-оптимизации. Но злоумышленники также превратили их в киберкриминальные средства: рекламные накрутки, спам, фишинг, перебор реквизитов доступа и распыление паролей - всё это осуществляется с применением домашних прокси.
Иногда пользователи могут сами вполне официально зарегистрироваться свои устройства в качестве прокси-серверов - и получать какую-либо компенсацию, например, денежную. Однако нередко пользовательские устройства превращаются в прокси-серверы без ведома и согласия своих обладателей.
И если через них проходит криминальный трафик, то они могут столкнуться ещё и с уголовным преследованием - за то, чего не совершали и не планировали.
По данным группы HUMAN Satori, занимающейся разведкой киберугроз, всего в Google Play были размещены 28 приложений, превращавшие пользовательские устройства в прокси-серверы. 17 из них выдавали себя за бесплатные инструменты установки VPN-соединений.
SDK, который рекламировали где не стоило
Все были созданы с помощью SDK (Software Development Kit или набор для разработки) фирмы LumiApps, содержащего Golang-библиотеку Proxylib, применяемую как раз для того, чтобы разворачивать на локальном устройстве прокси-службу.
Первое приложение с Proxylib - Oko VPN - было обнаружено в мае 2023 г. Разработчики выдают его за бесплатный VPN-инструмент для Android.
Примерно тогда же исследователи обнаружили на одном из хакерских форумах множественные упоминания новых VPN-приложений, в которых также говорилось про SDK lumiapps.io, предназначенный для монетизации приложений.
В ходе дальнейшего расследования выяснилось, что этот SDK содержит ровно ту же функциональность и использует ту же серверную инфраструктуру, что и вредоносные приложения, которые мы анализировали в ходе изучения более ранней версии Proxylib.
LumiApps утверждает, что ее платформа монетизации «помогает компаниям собирать информацию, которая публично доступна в сети».
«LumiApps... использует IP-адрес пользователя для загрузки с широко известных сайтов нескольких веб-страниц в фоновом режиме. Это делается без создания помех пользователям, в полном соответствии с Калифорнийским законом о защите прав потребителей (CCPA) и Европейским регламентом по защите данных (GDPR). Веб-страницы затем пересылаются компаниям, которые используют их для улучшения своих баз данных, что приводит к совершенствованию продуктов, услуг и оптимизации ценообразования», - говорится в описании.
Пока не вполне понятно, насколько разработчики бесплатных приложений осознавали, что этот SDK в действительности превращает пользовательские устройства в прокси-серверы, позволяющие вести нежелательную деятельность.
В HUMAN уверены, что эти приложения связаны с прокси-провайдером Asocks, который действует на территории России. На это, в частности, указывают соединения, поступающие к сайту провайдера. Asocks регулярно рекламируется на хакерских форумах.
В январе 2024 г. LumiApps выпустила вторую версию своего SDK со свежей версией Proxylib, которая теперь поддерживает проекты на Java, Kotlin и Unity.
В феврале Google удалил все приложения, использующие SDK LumiApps из Play Store и установил фильтр на его использование.
«Речь в данном случае идёт о приложениях и SDK, которые могут и не являться вредоносными сами по себе, но легко могут использоваться в таком качества, без ведома и согласия конечных пользователей», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, это сравнительно редкий случай, когда граница между вредоносностью и легитимностью размыта, и если бы не реклама на хакерских форумах, может статься, все эти приложения до сих пор бы числились в Google Play - со всей оригинальной функциональностью.
Интересно, что часть приложений потом снова оказалась в Google Play. Вероятно, их разработчики избавились от SDK и смогли снова загрузить свои приложения в магазин Google.
Поделиться
Короткая ссылка
