Aplicaciones VPN gratuitas en PlayStore convirtieron teléfonos en proxies

Los expertos en ciberseguridad del equipo de inteligencia de amenazas Satori de HUMAN han identificado un grupo de aplicaciones VPN (Red Privada Virtual) en Google Play Store que pueden transformar teléfonos Android en proxies residenciales sin su conocimiento (a través de BleepingComputer).

Según un informe publicado esta semana por HUMAN, el equipo ha encontrado un total de 28 aplicaciones Android peligrosas en Google Play Store que pueden hackear la red Wi-Fi del usuario. De estas, 17 de ellas que se hacían pasar por software VPN gratuito contenían un SDK malicioso (un kit de desarrollo de aplicaciones) que convertía los dispositivos de los usuarios en proxies.

Las 28 aplicaciones utilizaron un SDK de LumiApps que contenía PROXYLIB, una biblioteca de Golang responsable de la inscripción de nodos proxy en cada aplicación.

Los investigadores de seguridad de HUMAN descubrieron por primera vez esta operación en mayo de 2023 cuando se encontró que una VPN gratuita de Android llamada “Oko VPN” estaba utilizando PROXYLIB. Posteriormente, los investigadores encontraron que la misma biblioteca era utilizada por el servicio de monetización de aplicaciones Android de LumiApps.

Basado en los hallazgos de su investigación, HUMAN cree que estas aplicaciones maliciosas están vinculadas a Asocks, un vendedor ruso de proxies residenciales que fue publicitado en foros de hacking en línea. Los investigadores también dicen que el actor de la amenaza está utilizando Asocks como una forma de monetizar la red PROXYLIB.

“En mayo de 2023, los investigadores de Satori observaron actividad en foros de hackers y nuevas aplicaciones VPN que hacían referencia a un SDK de monetización, lumiapps[.]io,” explicó el informe de HUMAN.

“Tras una investigación más profunda, el equipo determinó que este SDK tiene exactamente la misma funcionalidad y utiliza la misma infraestructura de servidor que las aplicaciones maliciosas analizadas como parte de la investigación sobre la versión anterior de PROXYLIB.”

A continuación se presenta la lista de 28 aplicaciones que utilizaron la biblioteca PROXYLIB para convertir dispositivos Android en proxies:

2. Lite VPN

3. Anims Keyboard

4. Blaze Stride

5. Byte Blade VPN

6. Android 12 Launcher (por CaptainDroid)

7. Android 13 Launcher (por CaptainDroid)

8. Android 14 Launcher (por CaptainDroid)

9. CaptainDroid Feeds

10. Free Old Classic Movies (por CaptainDroid)

11. Phone Comparison (por CaptainDroid)

12. Fast Fly VPN

13. Fast Fox VPN

14. Fast Line VPN

15. Funny Char Ging Animation

16. Limo Edges

17. Oko VPN

18. Phone App Launcher

19. Quick Flow VPN

20. Sample VPN

21. Secure Thunder

22. Shine Secure

23. Speed Surf

24. Swift Shield VPN

25. Turbo Track VPN

26. Turbo Tunnel VPN

27. Yellow Flash VPN

28. VPN Ultra

29. Run VPN

LumiApps opera una plataforma de monetización de aplicaciones Android que utiliza la dirección IP de un dispositivo para cargar páginas web en segundo plano y enviar cualquier dato recuperado a empresas.

“Lumiapps ayuda a las empresas a recopilar información que está disponible públicamente en internet. Utiliza la dirección IP del usuario para cargar varias páginas web en segundo plano desde sitios web bien conocidos,” dice el sitio web de LumiApps.

“Esto se hace de una manera que nunca interrumpe al usuario y cumple completamente con GDPR/CCPA. Las páginas web se envían luego a las empresas, que las utilizan para mejorar sus bases de datos, ofreciendo mejores productos, servicios y precios.”

Tras la investigación del equipo Satori, Google ha eliminado todas las 28 aplicaciones y cualquier nueva que utilice el SDK de LumiApps de Play Store. También ha actualizado Google Play Protect para detectar la biblioteca LumiApp utilizada en las aplicaciones. De manera similar, algunos desarrolladores han eliminado el SDK que viola las directrices de Google Play para corregir sus aplicaciones y las han republicado desde diferentes cuentas de desarrollador.

Cuando BleepingComputer contactó a Google para verificar si las aplicaciones actualmente disponibles son ahora seguras para usar, aún no han recibido respuesta de la empresa.