App VPN gratuite su PlayStore trasformano i telefoni in proxy

Gli esperti di cybersecurity del team di intelligence sulle minacce Satori di HUMAN hanno identificato un gruppo di app VPN (Virtual Private Network) sul Google Play Store che possono trasformare i telefoni Android in proxy residenziali senza il loro consenso (via BleepingComputer).

Secondo un rapporto pubblicato questa settimana da HUMAN, il team ha trovato un totale di 28 pericolose app Android sul Google Play Store che possono hackerare la rete Wi-Fi dell’utente. Di queste, 17 si spacciavano per software VPN gratuiti e contenevano un SDK malevolo (un kit di sviluppo applicativo) che trasformava i dispositivi degli utenti in proxy.

Tutte e 28 le applicazioni utilizzavano un SDK LumiApps che conteneva PROXYLIB, una libreria Golang responsabile dell’iscrizione dei nodi proxy in ciascuna app.

I ricercatori di sicurezza di HUMAN hanno scoperto per la prima volta questa operazione a maggio 2023 quando una VPN Android gratuita chiamata “Oko VPN” è stata trovata a utilizzare PROXYLIB. Successivamente, i ricercatori hanno scoperto che la stessa libreria era utilizzata dal servizio di monetizzazione delle app Android di LumiApps.

Sulla base dei risultati della sua indagine, HUMAN ritiene che queste app malevole siano collegate ad Asocks, un venditore russo di proxy residenziali pubblicizzato su forum di hacking online. I ricercatori affermano anche che l’attore della minaccia sta utilizzando Asocks come modo per monetizzare la rete PROXYLIB.

“Alla fine di maggio 2023, i ricercatori di Satori hanno osservato attività su forum di hacker e nuove applicazioni VPN che facevano riferimento a un SDK di monetizzazione, lumiapps[.]io,” ha spiegato il rapporto di HUMAN.

“Dopo ulteriori indagini, il team ha determinato che questo SDK ha esattamente la stessa funzionalità e utilizza la stessa infrastruttura server delle applicazioni malevole analizzate come parte dell’indagine sulla versione precedente di PROXYLIB.”

Di seguito è riportato l’elenco delle 28 app che hanno utilizzato la libreria PROXYLIB per convertire i dispositivi Android in proxy:

2. Lite VPN

3. Anims Keyboard

4. Blaze Stride

5. Byte Blade VPN

6. Android 12 Launcher (di CaptainDroid)

7. Android 13 Launcher (di CaptainDroid)

8. Android 14 Launcher (di CaptainDroid)

9. CaptainDroid Feeds

10. Free Old Classic Movies (di CaptainDroid)

11. Phone Comparison (di CaptainDroid)

12. Fast Fly VPN

13. Fast Fox VPN

14. Fast Line VPN

15. Funny Char Ging Animation

16. Limo Edges

17. Oko VPN

18. Phone App Launcher

19. Quick Flow VPN

20. Sample VPN

21. Secure Thunder

22. Shine Secure

23. Speed Surf

24. Swift Shield VPN

25. Turbo Track VPN

26. Turbo Tunnel VPN

27. Yellow Flash VPN

28. VPN Ultra

29. Run VPN

LumiApps gestisce una piattaforma di monetizzazione delle app Android che utilizza l’indirizzo IP di un dispositivo per caricare pagine web in background e inviare i dati recuperati alle aziende.

“Lumiapps aiuta le aziende a raccogliere informazioni che sono pubblicamente disponibili su internet. Utilizza l’indirizzo IP dell’utente per caricare diverse pagine web in background da siti web noti,” si legge sul sito web di LumiApps.

“Questo viene fatto in un modo che non interrompe mai l’utente e rispetta pienamente il GDPR/CCPA. Le pagine web vengono quindi inviate alle aziende, che le utilizzano per migliorare i loro database, offrendo prodotti, servizi e prezzi migliori.”

A seguito della ricerca del team Satori, Google ha rimosso tutte le 28 app e qualsiasi nuova app che utilizza l’SDK LumiApps dal Play Store. Ha anche aggiornato Google Play Protect per rilevare la libreria LumiApp utilizzata nelle app. Allo stesso modo, alcuni sviluppatori hanno rimosso l’SDK che viola le linee guida di Google Play per correggere le loro app e le hanno ripubblicate da diversi account di sviluppatori.

Quando BleepingComputer ha contattato Google per verificare se le app attualmente disponibili sono ora sicure da usare, non hanno ancora ricevuto una risposta dall’azienda.