사이버 보안 · 2 min read · Oct 30, 2025

플레이스토어의 무료 VPN 앱이 휴대폰을 프록시로 변환

HUMAN의 Satori 위협 인텔리전스 팀의 사이버 보안 전문가들은 사용자의 동의 없이 안드로이드 휴대폰을 주거용 프록시로 변환할 수 있는 VPN(가상 사설망) 앱 클러스터를 구글 플레이 스토어에서 확인했습니다(출처: BleepingComputer).

HUMAN이 이번 주 발표한 보고서에 따르면, 팀은 사용자의 Wi-Fi 네트워크를 해킹할 수 있는 총 28개의 위험한 안드로이드 앱을 구글 플레이 스토어에서 발견했습니다. 이 중 17개는 무료 VPN 소프트웨어로 가장하여 사용자의 기기를 프록시로 변환하는 악성 SDK(응용 프로그램 개발 키트)를 포함하고 있었습니다.

모든 28개 애플리케이션은 각 앱에서 프록시 노드 등록을 담당하는 Golang 라이브러리인 PROXYLIB를 포함한 LumiApps SDK를 사용했습니다.

HUMAN의 보안 연구원들은 2023년 5월에 “Oko VPN”이라는 무료 안드로이드 VPN이 PROXYLIB를 사용하고 있다는 사실을 처음 발견했습니다. 이후 연구원들은 LumiApps의 안드로이드 앱 수익화 서비스에서도 동일한 라이브러리가 사용되고 있음을 발견했습니다.

조사 결과에 따르면, HUMAN은 이러한 악성 앱이 해킹 포럼에서 광고된 러시아 주거용 프록시 판매업체인 Asocks와 연결되어 있다고 믿고 있습니다. 연구원들은 또한 위협 행위자가 PROXYLIB 네트워크를 수익화하기 위해 Asocks를 사용하고 있다고 말합니다.

“HUMAN 보고서에 따르면, 2023년 5월 말에 Satori 연구원들은 해커 포럼에서 활동을 관찰하고 수익화 SDK인 lumiapps[.]io를 참조하는 새로운 VPN 애플리케이션을 발견했습니다.”

“추가 조사 결과, 팀은 이 SDK가 조사된 악성 애플리케이션과 동일한 기능을 가지고 있으며 동일한 서버 인프라를 사용하고 있다는 것을 확인했습니다.”

다음은 안드로이드 기기를 프록시로 변환하기 위해 PROXYLIB 라이브러리를 사용한 28개 앱 목록입니다:

  1. Lite VPN

  2. Anims Keyboard

  3. Blaze Stride

  4. Byte Blade VPN

  5. Android 12 Launcher (by CaptainDroid)

  6. Android 13 Launcher (by CaptainDroid)

  7. Android 14 Launcher (by CaptainDroid)

  8. CaptainDroid Feeds

  9. Free Old Classic Movies (by CaptainDroid)

  10. Phone Comparison (by CaptainDroid)

  11. Fast Fly VPN

  12. Fast Fox VPN

  13. Fast Line VPN

  14. Funny Char Ging Animation

  15. Limo Edges

  16. Oko VPN

  17. Phone App Launcher

  18. Quick Flow VPN

  19. Sample VPN

  20. Secure Thunder

  21. Shine Secure

  22. Speed Surf

  23. Swift Shield VPN

  24. Turbo Track VPN

  25. Turbo Tunnel VPN

  26. Yellow Flash VPN

  27. VPN Ultra

  28. Run VPN

LumiApps는 장치의 IP 주소를 사용하여 웹페이지를 백그라운드에서 로드하고 검색된 데이터를 회사에 전송하는 안드로이드 앱 수익화 플랫폼을 운영합니다.

“Lumiapps는 기업이 인터넷에서 공개적으로 이용 가능한 정보를 수집하는 데 도움을 줍니다. 사용자의 IP 주소를 사용하여 잘 알려진 웹사이트에서 여러 웹 페이지를 백그라운드에서 로드합니다.”라고 LumiApps 웹사이트에 나와 있습니다.

“이는 사용자에게 방해가 되지 않도록 이루어지며 GDPR/CCPA를 완전히 준수합니다. 그런 다음 웹 페이지는 기업에 전송되어 데이터베이스를 개선하고 더 나은 제품, 서비스 및 가격을 제공하는 데 사용됩니다.”

Satori 팀의 연구에 따라 구글은 모든 28개 앱과 LumiApps SDK를 사용하는 새로운 앱을 플레이 스토어에서 제거했습니다. 또한 앱에서 사용된 LumiApp 라이브러리를 탐지하기 위해 구글 플레이 보호를 업데이트했습니다. 유사하게, 일부 개발자는 구글 플레이 가이드라인을 위반하는 SDK를 제거하여 앱을 수정하고 다른 개발자 계정에서 재게시했습니다.

BleepingComputer가 구글에 현재 사용 가능한 앱이 안전한지 확인하기 위해 연락했지만, 회사로부터 아직 응답을 받지 못했습니다.

Share: X/Twitter LinkedIn
#사이버 보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.