Бесплатные VPN-приложения в PlayStore превратили телефоны в прокси

Эксперты по кибербезопасности из команды Satori компании HUMAN выявили кластер VPN (виртуальных частных сетей) приложений в Google Play Store, которые могут превращать Android-телефоны в резидентные прокси без ведома пользователей (по данным BleepingComputer).

Согласно отчету, опубликованному на этой неделе компанией HUMAN, команда обнаружила в Google Play Store в общей сложности 28 опасных Android-приложений, которые могут взломать Wi-Fi-сеть пользователя. Из них 17, выдавая себя за бесплатное VPN-программное обеспечение, содержали вредоносный SDK (набор для разработки приложений), который превращал устройства пользователей в прокси.

Все 28 приложений использовали LumiApps SDK, который содержал PROXYLIB, библиотеку на Golang, отвечающую за регистрацию прокси-узлов в каждом приложении.

Исследователи безопасности HUMAN впервые обнаружили эту операцию в мае 2023 года, когда бесплатный Android VPN под названием “Oko VPN” был найден с использованием PROXYLIB. Впоследствии исследователи выяснили, что та же библиотека использовалась сервисом монетизации Android-приложений LumiApps.

Основываясь на результатах своего расследования, HUMAN считает, что эти вредоносные приложения связаны с Asocks, российским продавцом резидентных прокси, который рекламировался на хакерских форумах в интернете. Исследователи также утверждают, что злоумышленник использует Asocks как способ монетизации сети PROXYLIB.

“В конце мая 2023 года исследователи Satori наблюдали активность на хакерских форумах и новые VPN-приложения, ссылающиеся на SDK монетизации, lumiapps[.]io,” объясняет отчет HUMAN.

“При дальнейшем расследовании команда установила, что этот SDK имеет точно такую же функциональность и использует ту же серверную инфраструктуру, что и вредоносные приложения, проанализированные в рамках расследования более ранней версии PROXYLIB.”

Ниже приведен список из 28 приложений, которые использовали библиотеку PROXYLIB для превращения Android-устройств в прокси:

2. Lite VPN

3. Anims Keyboard

4. Blaze Stride

5. Byte Blade VPN

6. Android 12 Launcher (от CaptainDroid)

7. Android 13 Launcher (от CaptainDroid)

8. Android 14 Launcher (от CaptainDroid)

9. CaptainDroid Feeds

10. Free Old Classic Movies (от CaptainDroid)

11. Phone Comparison (от CaptainDroid)

12. Fast Fly VPN

13. Fast Fox VPN

14. Fast Line VPN

15. Funny Char Ging Animation

16. Limo Edges

17. Oko VPN

18. Phone App Launcher

19. Quick Flow VPN

20. Sample VPN

21. Secure Thunder

22. Shine Secure

23. Speed Surf

24. Swift Shield VPN

25. Turbo Track VPN

26. Turbo Tunnel VPN

27. Yellow Flash VPN

28. VPN Ultra

29. Run VPN

LumiApps управляет платформой монетизации Android-приложений, которая использует IP-адрес устройства для загрузки веб-страниц в фоновом режиме и отправки любых полученных данных компаниям.

“Lumiapps помогает компаниям собирать информацию, которая доступна в интернете. Он использует IP-адрес пользователя для загрузки нескольких веб-страниц в фоновом режиме с известных сайтов,” говорится на сайте LumiApps.

“Это делается так, чтобы никогда не прерывать пользователя и полностью соответствовать GDPR/CCPA. Затем веб-страницы отправляются компаниям, которые используют их для улучшения своих баз данных, предлагая лучшие продукты, услуги и цены.”

После исследования команды Satori Google удалил все 28 приложений и любые новые, использующие LumiApps SDK, из Play Store. Также была обновлена защита Google Play Protect для обнаружения библиотеки LumiApp, используемой в приложениях. Аналогично, некоторые разработчики удалили SDK, который нарушает правила Google Play, чтобы исправить свои приложения и повторно опубликовать их с других аккаунтов разработчиков.

Когда BleepingComputer связался с Google, чтобы проверить, безопасны ли сейчас доступные приложения для использования, они еще не получили ответа от компании.