Des applications VPN gratuites sur le PlayStore ont transformé des téléphones en proxys

Des experts en cybersécurité de l’équipe de renseignement sur les menaces Satori de HUMAN ont identifié un groupe d’applications VPN (réseau privé virtuel) sur le Google Play Store qui peuvent transformer des téléphones Android en proxys résidentiels à leur insu (via BleepingComputer).

Selon un rapport publié cette semaine par HUMAN, l’équipe a trouvé un total de 28 applications Android dangereuses sur le Google Play Store qui peuvent pirater le réseau Wi-Fi de l’utilisateur. Parmi celles-ci, 17 se faisant passer pour des logiciels VPN gratuits contenaient un SDK malveillant (un kit de développement d’applications) qui transformait les appareils des utilisateurs en proxys.

Toutes les 28 applications utilisaient un SDK LumiApps qui contenait PROXYLIB, une bibliothèque Golang responsable de l’inscription des nœuds proxy dans chaque application.

Les chercheurs en sécurité de HUMAN ont d’abord découvert cette opération en mai 2023 lorsqu’un VPN Android gratuit appelé « Oko VPN » a été trouvé utilisant PROXYLIB. Par la suite, les chercheurs ont constaté que la même bibliothèque était utilisée par le service de monétisation d’applications Android de LumiApps.

Sur la base des résultats de son enquête, HUMAN pense que ces applications malveillantes sont liées à Asocks, un vendeur de proxys résidentiels russe qui était annoncé sur des forums de hacking en ligne. Les chercheurs affirment également que l’acteur de la menace utilise Asocks comme moyen de monétiser le réseau PROXYLIB.

« Fin mai 2023, les chercheurs de Satori ont observé une activité sur des forums de hackers et de nouvelles applications VPN faisant référence à un SDK de monétisation, lumiapps[.]io », explique le rapport de HUMAN.

« Après une enquête plus approfondie, l’équipe a déterminé que ce SDK a exactement la même fonctionnalité et utilise la même infrastructure serveur que les applications malveillantes analysées dans le cadre de l’enquête sur la version antérieure de PROXYLIB. »

Voici la liste des 28 applications qui ont utilisé la bibliothèque PROXYLIB pour convertir des appareils Android en proxys :

2. Lite VPN

3. Anims Keyboard

4. Blaze Stride

5. Byte Blade VPN

6. Android 12 Launcher (par CaptainDroid)

7. Android 13 Launcher (par CaptainDroid)

8. Android 14 Launcher (par CaptainDroid)

9. CaptainDroid Feeds

10. Free Old Classic Movies (par CaptainDroid)

11. Phone Comparison (par CaptainDroid)

12. Fast Fly VPN

13. Fast Fox VPN

14. Fast Line VPN

15. Funny Char Ging Animation

16. Limo Edges

17. Oko VPN

18. Phone App Launcher

19. Quick Flow VPN

20. Sample VPN

21. Secure Thunder

22. Shine Secure

23. Speed Surf

24. Swift Shield VPN

25. Turbo Track VPN

26. Turbo Tunnel VPN

27. Yellow Flash VPN

28. VPN Ultra

29. Run VPN

LumiApps gère une plateforme de monétisation d’applications Android qui utilise l’adresse IP d’un appareil pour charger des pages web en arrière-plan et envoyer les données récupérées à des entreprises.

« Lumiapps aide les entreprises à rassembler des informations qui sont publiquement disponibles sur Internet. Elle utilise l’adresse IP de l’utilisateur pour charger plusieurs pages web en arrière-plan à partir de sites bien connus », indique le site web de LumiApps.

« Cela se fait d’une manière qui n’interrompt jamais l’utilisateur et qui est entièrement conforme au RGPD/CCPA. Les pages web sont ensuite envoyées aux entreprises, qui les utilisent pour améliorer leurs bases de données, offrant de meilleurs produits, services et prix. »

Suite aux recherches de l’équipe Satori, Google a supprimé toutes les 28 applications et toutes les nouvelles utilisant le SDK LumiApps du Play Store. Il a également mis à jour Google Play Protect pour détecter la bibliothèque LumiApp utilisée dans les applications. De même, certains développeurs ont supprimé le SDK qui enfreint les directives de Google Play pour corriger leurs applications et les republier à partir de différents comptes de développeurs.

Lorsque BleepingComputer a contacté Google pour vérifier si les applications actuellement disponibles sont désormais sûres à utiliser, ils n’ont pas encore reçu de réponse de la part de l’entreprise.