VPN gratuitas en Google Play convirtieron los teléfonos Android en servid proxys

Iniciado por AXCESS, Marzo 27, 2024, 04:52:01 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 27, 2024, 04:52:01 PM Ultima modificación: Marzo 27, 2024, 04:53:49 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se encontraron más de 15 aplicaciones VPN gratuitas en Google Play utilizando un kit de desarrollo de software malicioso que convertía los dispositivos Android en servidores proxy residenciales involuntarios, probablemente utilizados para delitos cibernéticos y bots de compras.

Los proxies residenciales son dispositivos que dirigen el tráfico de Internet a través de dispositivos ubicados en hogares para otros usuarios remotos, haciendo que el tráfico parezca legítimo y con menos probabilidades de ser bloqueado.

Si bien tienen usos legítimos para la investigación de mercado, la verificación de anuncios y el SEO, muchos ciberdelincuentes los utilizan para ocultar actividades maliciosas, incluido el fraude publicitario, el spam, el phishing, el relleno de credenciales y la pulverización de contraseñas.

Los usuarios pueden registrarse voluntariamente en servicios de proxy para obtener recompensas monetarias o de otro tipo a cambio, pero algunos de estos servicios de proxy emplean medios poco éticos y turbios para instalar sus herramientas de proxy en los dispositivos de las personas en secreto.

Cuando se instala en secreto, las víctimas verán secuestrado su ancho de banda de Internet sin su conocimiento y correrán el riesgo de tener problemas legales por aparecer como fuente de actividad maliciosa.

Proxy de aplicaciones VPN de Android

Un informe publicado hoy por el equipo de inteligencia de amenazas Satori de HUMAN enumera 28 aplicaciones en Google Play que secretamente convirtieron dispositivos Android en servidores proxy. De estas 28 aplicaciones, 17 se hicieron pasar como software VPN gratuito.

Los analistas de Satori informan que todas las aplicaciones infractoras utilizaban un kit de desarrollo de software (SDK) de LumiApps que contenía "Proxylib", una biblioteca de Golang para realizar el proxy.

HUMAN descubrió la primera aplicación de operador PROXYLIB en mayo de 2023, una aplicación VPN gratuita para Android llamada "Oko VPN". Más tarde, los investigadores encontraron la misma biblioteca utilizada por el servicio de monetización de aplicaciones LumiApps para Android.

"A finales de mayo de 2023, los investigadores de Satori observaron actividad en foros de hackers y nuevas aplicaciones VPN que hacían referencia a un SDK de monetización, lumiapps[.]io", explica el informe de Satori.

"Tras una investigación más exhaustiva, el equipo determinó que este SDK tiene exactamente la misma funcionalidad y utiliza la misma infraestructura de servidor que las aplicaciones maliciosas analizadas como parte de la investigación de la versión anterior de PROXYLIB".

Una investigación posterior reveló un conjunto de 28 aplicaciones que utilizaban la biblioteca ProxyLib para convertir dispositivos Android en servidores proxy, que se enumeran a continuación:

    VPN sencilla

    Teclado de animaciones

    Paso de fuego

    VPN de hoja de bytes

    Lanzador de Android 12 (por CaptainDroid)

    Lanzador de Android 13 (por CaptainDroid)

    Lanzador de Android 14 (por CaptainDroid)

    Feeds de CaptainDroid

    Películas clásicas antiguas gratuitas (por CaptainDroid)

    Comparación de teléfonos (por CaptainDroid)

    VPN de vuelo rápido

    VPN rápida de Fox

    VPN de línea rápida

    Animación divertida de Char Ging

    Bordes de limusina

    OkoVPN

    Lanzador de aplicaciones de teléfono

    VPN de flujo rápido

    VPN de muestra

    Trueno seguro

    Brilla Seguro

    Surf de velocidad

    VPN de escudo rápido

    VPN de pista turbo

    VPN de túnel turbo

    VPN de destello amarillo

    VPN ultra

    Ejecutar VPN

LumiApps es una plataforma de monetización de aplicaciones de Android que afirma que su SDK utilizará la dirección IP de un dispositivo para cargar páginas web en segundo plano y enviar los datos recuperados a las empresas.

"Lumiapps ayuda a las empresas a recopilar información que está disponible públicamente en Internet. Utiliza la dirección IP del usuario para cargar en segundo plano varias páginas web de sitios web conocidos", se lee en el sitio web de LumiApps.

"Esto se hace de una manera que nunca interrumpe al usuario y cumple plenamente con GDPR/CCPA. Luego, las páginas web se envían a las empresas, que las utilizan para mejorar sus bases de datos, ofreciendo mejores productos, servicios y precios".

Sin embargo, no está claro si los desarrolladores de aplicaciones gratuitas sabían que el SDK estaba convirtiendo los dispositivos de sus usuarios en servidores proxy que podrían usarse para actividades no deseadas.

HUMAN cree que las aplicaciones maliciosas están vinculadas al proveedor ruso de servicios de proxy residencial 'Asocks' después de observar las conexiones realizadas al sitio web del proveedor de proxy. El servicio Asocks suele promocionarse entre los ciberdelincuentes en foros de piratería.

Descripción general operativa de Proxylib
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En enero de 2024, LumiApps lanzó la segunda versión principal de su SDK junto con Proxylib v2. Según la empresa, esto solucionó "problemas de integración" y ahora es compatible con proyectos Java, Kotlin y Unity.

Tras el informe de HUMAN, Google eliminó todas las aplicaciones nuevas y restantes que utilizaban el SDK de LumiApps de Play Store en febrero de 2024 y actualizó Google Play Protect para detectar las bibliotecas de LumiApps utilizadas en las aplicaciones.

Mientras tanto, muchas de las aplicaciones enumeradas anteriormente ahora están disponibles nuevamente en la tienda Google Play, presumiblemente después de que sus desarrolladores eliminaron el SDK infractor. A veces se publicaban desde diferentes cuentas de desarrollador, lo que podría indicar prohibiciones de cuentas anteriores.

BleepingComputer se comunicó con Google para solicitar un comentario sobre el estado de las aplicaciones actualmente disponibles que usan los mismos nombres y si ahora son seguras, pero aún no hemos recibido respuesta.

Si ha utilizado una de las aplicaciones enumeradas, la actualización a la versión más reciente que no utiliza el SDK en particular detendrá la actividad de proxy. Sin embargo, por precaución, puede ser más seguro eliminarlos por completo.

Si la aplicación se eliminó de Google Play y no existe una versión segura, se recomienda desinstalarla. Play Protect también debería advertir a los usuarios en ese caso.

Por último, probablemente sea más seguro utilizar aplicaciones VPN de pago en lugar de servicios gratuitos, ya que muchos productos de esta última categoría están más dispuestos a implementar sistemas de monetización indirecta, incluida la recopilación/venta de datos, la publicidad y la inscripción en servicios proxy.

Actualización 27/03: un portavoz de Google envió a BleepingComputer el siguiente comentario:

    Google Play Protect protege automáticamente a los usuarios al desactivar estas aplicaciones identificadas. Una vez que las aplicaciones están deshabilitadas, no pueden ejecutarse en el dispositivo ni dañarlo.

    Google Play Protect también proporcionará una advertencia y preguntará a los usuarios si desean realizar una desinstalación completa.

El portavoz también confirmó que las 28 aplicaciones maliciosas reportadas por HUMAN ya han sido eliminadas de Google Play.

Por lo tanto, todas las aplicaciones con nombres iguales o similares a los mencionados en la lista anterior son completamente seguras de usar.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario