По данным веб-сайта BleepingComputer, группа по анализу угроз Satori компании HUMAN обнаружила, что более 10 бесплатных VPN-приложений в магазине приложений Google Play содержат вредоносные наборы инструментов, которые могут превращать устройства Android в домашние прокси без ведома пользователя, а затем участвовать в различных вредоносных действиях.

Резидентные прокси-серверы направляют интернет-трафик другим удаленным пользователям через устройства, расположенные у вас дома, делая трафик видимым легитимным. Хотя такие прокси-серверы имеют законное применение, например, для исследования рынка, проверки рекламы и поисковой оптимизации (SEO), они также используются многими. Используется киберпреступниками для сокрытия вредоносной деятельности, включая мошенничество с рекламой, спам, фишинг, подброс учетных данных и распыление паролей.

Когда резидентные прокси устанавливаются тайно, пропускная способность Интернета жертвы будет захвачена без ее ведома и станет «соучастником» вредоносного трафика, что впоследствии может легко привести к юридическим спорам.

Команда Satori перечислила в Google Play в общей сложности 28 приложений, которые тайно превращают устройства Android в прокси-серверы. Из этих 28 приложений 17 являются бесплатными VPN.

Аналитики Satori сообщают, что все злоумышленные приложения используют комплект разработки программного обеспечения (SDK) LumiApps, который включает в себя «Proxylib», библиотеку Golang для выполнения прокси. LumiApps, платформа монетизации приложений Android, утверждает, что ее SDK будет использовать IP-адрес устройства для загрузки веб-страниц в фоновом режиме и отправки полученных данных в компанию.

Домашняя страница LumiApps

Эта функция рекламируется как полностью соответствующая правилам GDPR/CCPA и призвана позволить компаниям использовать собранные данные для улучшения своих баз данных, чтобы предоставлять более качественные продукты, услуги и цены. Однако неясно, знали ли разработчики, что SDK превращает устройства их пользователей в прокси-серверы, которые могут использоваться для вредоносных действий.

Обнаружив ссылки на веб-сайты прокси-провайдеров, Сатори полагает, что эти вредоносные приложения связаны с российским поставщиком услуг прокси-сервера Asocks. Asocks часто предлагают свои услуги киберпреступникам на хакерских форумах.

Согласно отчету команды, Google удалил все приложения, использующие LumiApps SDK, из магазина приложений Google Play в феврале 2024 года и обновил Google Play Protect для обнаружения библиотеки LumiApp, используемой в приложениях. В то же время эти VPN-приложения снова стали доступны после того, как разработчики удалили вредоносный SDK. BleepingComputer обратился в Google с вопросом, безопасны ли теперь приложения, но пока не получил ответа.