Kostenlose VPN-Apps im PlayStore verwandelten Telefone in Proxys

Cybersecurity-Experten des Satori-Bedrohungsintelligenzteams von HUMAN haben einen Cluster von VPN (Virtual Private Network)-Apps im Google Play Store identifiziert, die Android-Telefone ohne Wissen der Nutzer in Wohnproxys verwandeln können (via BleepingComputer).

Laut einem diese Woche veröffentlichten Bericht von HUMAN hat das Team insgesamt 28 gefährliche Android-Apps im Google Play Store gefunden, die in das Wi-Fi-Netzwerk des Nutzers eindringen können. Von diesen gaben sich 17 als kostenlose VPN-Software aus und enthielten ein bösartiges SDK (ein Anwendungsentwicklungs-Kit), das die Geräte der Nutzer in Proxys verwandelte.

Alle 28 Anwendungen verwendeten ein LumiApps SDK, das PROXYLIB enthielt, eine Golang-Bibliothek, die für die Registrierung von Proxy-Knoten in jeder App verantwortlich ist.

Die Sicherheitsforscher von HUMAN entdeckten diese Operation erstmals im Mai 2023, als ein kostenloses Android-VPN namens „Oko VPN“ gefunden wurde, das PROXYLIB verwendete. Anschließend fanden die Forscher heraus, dass dieselbe Bibliothek auch vom Monetarisierungsdienst der LumiApps-Android-App verwendet wurde.

Basierend auf den Ergebnissen ihrer Untersuchung glaubt HUMAN, dass diese bösartigen Apps mit Asocks verbunden sind, einem russischen Anbieter von Wohnproxys, der in Online-Hacking-Foren beworben wurde. Die Forscher sagen auch, dass der Bedrohungsakteur Asocks als Möglichkeit nutzt, das PROXYLIB-Netzwerk zu monetarisieren.

„Ende Mai 2023 beobachteten die Satori-Forscher Aktivitäten in Hackerforen und neue VPN-Anwendungen, die auf ein Monetarisierungs-SDK, lumiapps[.]io, verwiesen“, erklärte der HUMAN-Bericht.

„Bei weiteren Untersuchungen stellte das Team fest, dass dieses SDK genau die gleiche Funktionalität hat und dieselbe Serverinfrastruktur wie die bösartigen Anwendungen verwendet, die im Rahmen der Untersuchung der früheren Version von PROXYLIB analysiert wurden.“

Nachfolgend finden Sie die Liste der 28 Apps, die die PROXYLIB-Bibliothek verwendeten, um Android-Geräte in Proxys zu verwandeln:

2. Lite VPN

3. Anims Keyboard

4. Blaze Stride

5. Byte Blade VPN

6. Android 12 Launcher (von CaptainDroid)

7. Android 13 Launcher (von CaptainDroid)

8. Android 14 Launcher (von CaptainDroid)

9. CaptainDroid Feeds

10. Kostenlose alte klassische Filme (von CaptainDroid)

11. Telefonvergleich (von CaptainDroid)

12. Fast Fly VPN

13. Fast Fox VPN

14. Fast Line VPN

15. Lustige Char Ging Animation

16. Limo Edges

17. Oko VPN

18. Telefon-App-Launcher

19. Quick Flow VPN

20. Sample VPN

21. Secure Thunder

22. Shine Secure

23. Speed Surf

24. Swift Shield VPN

25. Turbo Track VPN

26. Turbo Tunnel VPN

27. Yellow Flash VPN

28. VPN Ultra

29. Run VPN

LumiApps betreibt eine Monetarisierungsplattform für Android-Apps, die die IP-Adresse eines Geräts verwendet, um Webseiten im Hintergrund zu laden und alle abgerufenen Daten an Unternehmen zu senden.

„Lumiapps hilft Unternehmen, Informationen zu sammeln, die öffentlich im Internet verfügbar sind. Es verwendet die IP-Adresse des Nutzers, um mehrere Webseiten im Hintergrund von bekannten Websites zu laden“, heißt es auf der LumiApps-Website.

„Dies geschieht auf eine Weise, die den Nutzer niemals unterbricht und vollständig mit der DSGVO/CCPA übereinstimmt. Die Webseiten werden dann an Unternehmen gesendet, die sie zur Verbesserung ihrer Datenbanken nutzen, um bessere Produkte, Dienstleistungen und Preise anzubieten.“

Nach den Forschungen des Satori-Teams hat Google alle 28 Apps und alle neuen, die das LumiApps SDK verwenden, aus dem Play Store entfernt. Es hat auch Google Play Protect aktualisiert, um die in Apps verwendete LumiApp-Bibliothek zu erkennen. Ebenso haben einige Entwickler das SDK entfernt, das gegen die Richtlinien von Google Play verstößt, um ihre Apps zu reparieren und sie von anderen Entwicklerkonten erneut zu veröffentlichen.

Als BleepingComputer Google kontaktierte, um zu überprüfen, ob die derzeit verfügbaren Apps jetzt sicher zu verwenden sind, haben sie noch keine Antwort von dem Unternehmen erhalten.