Aplicativos VPN Gratuitos na PlayStore Transformaram Telefones em Proxies

Especialistas em cibersegurança da equipe de inteligência de ameaças Satori da HUMAN identificaram um grupo de aplicativos VPN (Rede Privada Virtual) na Google Play Store que podem transformar telefones Android em proxies residenciais sem o conhecimento dos usuários (via BleepingComputer).

De acordo com um relatório publicado esta semana pela HUMAN, a equipe encontrou um total de 28 aplicativos Android perigosos na Google Play Store que podem invadir a rede Wi-Fi do usuário. Desses, 17 deles, que se passavam por software VPN gratuito, continham um SDK malicioso (um kit de desenvolvimento de aplicativos) que transformava os dispositivos dos usuários em proxies.

Todos os 28 aplicativos usaram um SDK LumiApps que continha PROXYLIB, uma biblioteca Golang responsável pelo registro de nós proxy em cada aplicativo.

Os pesquisadores de segurança da HUMAN descobriram pela primeira vez essa operação em maio de 2023, quando um VPN Android gratuito chamado “Oko VPN” foi encontrado usando PROXYLIB. Subsequentemente, os pesquisadores descobriram que a mesma biblioteca era utilizada pelo serviço de monetização de aplicativos Android da LumiApps.

Com base nas descobertas de sua investigação, a HUMAN acredita que esses aplicativos maliciosos estão ligados à Asocks, um vendedor russo de proxies residenciais que foi anunciado em fóruns de hacking online. Os pesquisadores também afirmam que o ator da ameaça está usando a Asocks como uma forma de monetizar a rede PROXYLIB.

“Em maio de 2023, os pesquisadores da Satori observaram atividade em fóruns de hackers e novos aplicativos VPN referenciando um SDK de monetização, lumiapps[.]io,” explicou o relatório da HUMAN.

“Após uma investigação mais aprofundada, a equipe determinou que esse SDK tem exatamente a mesma funcionalidade e usa a mesma infraestrutura de servidor que os aplicativos maliciosos analisados como parte da investigação sobre a versão anterior do PROXYLIB.”

Abaixo está a lista de 28 aplicativos que usaram a biblioteca PROXYLIB para converter dispositivos Android em proxies:

2. Lite VPN

3. Anims Keyboard

4. Blaze Stride

5. Byte Blade VPN

6. Android 12 Launcher (por CaptainDroid)

7. Android 13 Launcher (por CaptainDroid)

8. Android 14 Launcher (por CaptainDroid)

9. CaptainDroid Feeds

10. Free Old Classic Movies (por CaptainDroid)

11. Phone Comparison (por CaptainDroid)

12. Fast Fly VPN

13. Fast Fox VPN

14. Fast Line VPN

15. Funny Char Ging Animation

16. Limo Edges

17. Oko VPN

18. Phone App Launcher

19. Quick Flow VPN

20. Sample VPN

21. Secure Thunder

22. Shine Secure

23. Speed Surf

24. Swift Shield VPN

25. Turbo Track VPN

26. Turbo Tunnel VPN

27. Yellow Flash VPN

28. VPN Ultra

29. Run VPN

A LumiApps opera uma plataforma de monetização de aplicativos Android que usa o endereço IP de um dispositivo para carregar páginas da web em segundo plano e enviar quaisquer dados recuperados para empresas.

“A Lumiapps ajuda empresas a coletar informações que estão publicamente disponíveis na internet. Ela usa o endereço IP do usuário para carregar várias páginas da web em segundo plano de sites conhecidos,” lê-se no site da LumiApps.

“Isto é feito de uma maneira que nunca interrompe o usuário e está totalmente em conformidade com o GDPR/CCPA. As páginas da web são então enviadas para empresas, que as utilizam para melhorar seus bancos de dados, oferecendo melhores produtos, serviços e preços.”

Após a pesquisa da equipe Satori, o Google removeu todos os 28 aplicativos e quaisquer novos que utilizassem o SDK LumiApps da Play Store. Também atualizou o Google Play Protect para detectar a biblioteca LumiApp usada nos aplicativos. Da mesma forma, alguns desenvolvedores removeram o SDK que viola as diretrizes do Google Play para corrigir seus aplicativos e republicá-los de diferentes contas de desenvolvedor.

Quando BleepingComputer entrou em contato com o Google para verificar se os aplicativos atualmente disponíveis são seguros para uso, ainda não receberam uma resposta da empresa.