Mais de 15 aplicativos gratuitos de VPN no Google Play foram encontrados usando um kit de desenvolvimento de software mal-intencionado que transformava dispositivos Android em proxies residenciais involuntários, provavelmente usados para crimes cibernéticos e bots de compras.
Proxies residenciais são dispositivos que roteiam o tráfego da internet através de dispositivos localizados em residências para outros usuários remotos, fazendo com que o tráfego pareça legítimo e menos propenso a ser bloqueado.
Embora tenham usos legítimos para pesquisa de mercado, verificação de anúncios e SEO, muitos cibercriminosos os usam para ocultar atividades maliciosas, incluindo fraude de anúncios, spamming, phishing, enchimento de credenciais e pulverização de senhas.
Os usuários podem se registrar voluntariamente em serviços de proxy para obter recompensas monetárias ou outras recompensas em troca, mas alguns desses serviços de proxy empregam meios antiéticos e obscuros para instalar suas ferramentas de proxy nos dispositivos das pessoas secretamente.
Quando instalados secretamente, as vítimas terão sua largura de banda de internet sequestrada sem o seu conhecimento e correm o risco de enfrentar problemas legais por aparecerem como a fonte da atividade maliciosa.
Um relatório publicado hoje pela equipe de inteligência de ameaças Satori da HUMAN lista 28 aplicações no Google Play que transformaram secretamente dispositivos Android em servidores proxy.
Destes 28 aplicativos, 17 foram apresentados como software de VPN gratuito.
Os analistas da Satori relatam que os aplicativos infratores estavam todos usando um kit de desenvolvimento de software (SDK) da LumiApps que continha o "Proxylib", uma biblioteca Golang para realizar o proxying.
A HUMAN descobriu o primeiro aplicativo portador do PROXYLIB em maio de 2023, um aplicativo gratuito de VPN para Android chamado "Oko VPN".
Os pesquisadores depois encontraram a mesma biblioteca usada pelo serviço de monetização de aplicativos Android da LumiApps.
"No final de maio de 2023, os pesquisadores da Satori observaram atividade em fóruns de hackers e novas aplicações de VPN referenciando um SDK de monetização, lumiapps.io", explica o relatório da Satori.
"Após uma investigação mais aprofundada, a equipe determinou que esse SDK tem exatamente a mesma funcionalidade e usa a mesma infraestrutura de servidor que as aplicações maliciosas analisadas como parte da investigação sobre a versão anterior do PROXYLIB.
"
Uma investigação subsequente revelou um conjunto de 28 aplicativos que utilizavam a biblioteca ProxyLib para converter dispositivos Android em proxies, que são listados abaixo:
Lite VPN
Anims Keyboard
Blaze Stride
Byte Blade VPN
Android 12 Launcher (por CaptainDroid)
Android 13 Launcher (por CaptainDroid)
Android 14 Launcher (por CaptainDroid)
CaptainDroid Feeds
Free Old Classic Movies (por CaptainDroid)
Phone Comparison (por CaptainDroid)
Fast Fly VPN
Fast Fox VPN
Fast Line VPN
Funny Char Ging Animation
Limo Edges
Oko VPN
Phone App Launcher
Quick Flow VPN
Sample VPN
Secure Thunder
Shine Secure
Speed Surf
Swift Shield VPN
Turbo Track VPN
Turbo Tunnel VPN
Yellow Flash VPN
VPN Ultra
Run VPN
LumiApps é uma plataforma de monetização de aplicativos Android que afirma que seu SDK utilizará o endereço IP de um dispositivo para carregar páginas da web em segundo plano e enviar os dados recuperados para empresas.
"Lumiapps ajuda empresas a coletar informações que estão publicamente disponíveis na internet.
Ele usa o endereço IP do usuário para carregar várias páginas da web em segundo plano de sites conhecidos", diz o site da LumiApps.
"Isso é feito de uma maneira que nunca interrompe o usuário e está totalmente em conformidade com o GDPR/CCPA.
As páginas da web são então enviadas para empresas, que as usam para melhorar seus bancos de dados, oferecendo melhores produtos, serviços e preços."
No entanto, não está claro se os desenvolvedores de aplicativos gratuitos sabiam que o SDK estava convertendo os dispositivos de seus usuários em servidores proxy que poderiam ser usados para atividades indesejadas.
A HUMAN acredita que os aplicativos maliciosos estão ligados ao provedor de serviços de proxy residencial russo 'Asocks' após observar conexões feitas com o site do provedor de proxy.
O serviço Asocks é comumente promovido para cibercriminosos em fóruns de hacking.
Em janeiro de 2024, a LumiApps lançou a segunda versão principal de seu SDK junto com o Proxylib v2.
Segundo a empresa, isso resolveu "problemas de integração", e agora suporta projetos em Java, Kotlin e Unity.
Seguindo o relatório da HUMAN, o Google removeu quaisquer novos e restantes aplicativos usando o SDK da LumiApps da Play Store em fevereiro de 2024 e atualizou o Google Play Protect para detectar as bibliotecas da LumiApp usadas nos aplicativos.
Enquanto isso, muitos dos aplicativos listados acima estão agora disponíveis novamente na loja do Google Play, presumivelmente após seus desenvolvedores removerem o SDK ofensivo.
Eles foram algumas vezes publicados a partir de contas de desenvolvedor diferentes, indicando possivelmente proibições de contas anteriores.
O BleepingComputer entrou em contato com o Google para um comentário sobre o status dos aplicativos atualmente disponíveis usando os mesmos nomes e se eles são agora seguros, mas ainda não recebemos uma resposta.
Se você utilizou um dos aplicativos listados, a atualização para a versão mais recente que não usa o SDK específico interromperá a atividade de proxy.
No entanto, por excesso de cautela, pode ser mais seguro removê-los completamente.
Se o aplicativo foi removido do Google Play e não existe uma versão segura, você é recomendado a desinstalá-lo.
O Play Protect também deve alertar os usuários nesse caso.
Por fim, é provavelmente mais seguro usar aplicativos de VPN pagos em vez de serviços gratuitos, pois muitos produtos na última categoria estão mais dispostos a implementar sistemas de monetização indireta, incluindo coleta/venda de dados, publicidade e inscrição em serviços de proxy.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...