(https://i.postimg.cc/TPfB4NZv/Android.png) (https://postimages.org/)
Se encontraron más de 15 aplicaciones VPN gratuitas en Google Play utilizando un kit de desarrollo de software malicioso que convertía los dispositivos Android en servidores proxy residenciales involuntarios, probablemente utilizados para delitos cibernéticos y bots de compras.
Los proxies residenciales son dispositivos que dirigen el tráfico de Internet a través de dispositivos ubicados en hogares para otros usuarios remotos, haciendo que el tráfico parezca legítimo y con menos probabilidades de ser bloqueado.
Si bien tienen usos legítimos para la investigación de mercado, la verificación de anuncios y el SEO, muchos ciberdelincuentes los utilizan para ocultar actividades maliciosas, incluido el fraude publicitario, el spam, el phishing, el relleno de credenciales y la pulverización de contraseñas.
Los usuarios pueden registrarse voluntariamente en servicios de proxy para obtener recompensas monetarias o de otro tipo a cambio, pero algunos de estos servicios de proxy emplean medios poco éticos y turbios para instalar sus herramientas de proxy en los dispositivos de las personas en secreto.
Cuando se instala en secreto, las víctimas verán secuestrado su ancho de banda de Internet sin su conocimiento y correrán el riesgo de tener problemas legales por aparecer como fuente de actividad maliciosa.
Proxy de aplicaciones VPN de Android
Un informe publicado hoy por el equipo de inteligencia de amenazas Satori de HUMAN enumera 28 aplicaciones en Google Play que secretamente convirtieron dispositivos Android en servidores proxy. De estas 28 aplicaciones, 17 se hicieron pasar como software VPN gratuito.
Los analistas de Satori informan que todas las aplicaciones infractoras utilizaban un kit de desarrollo de software (SDK) de LumiApps que contenía "Proxylib", una biblioteca de Golang para realizar el proxy.
HUMAN descubrió la primera aplicación de operador PROXYLIB en mayo de 2023, una aplicación VPN gratuita para Android llamada "Oko VPN". Más tarde, los investigadores encontraron la misma biblioteca utilizada por el servicio de monetización de aplicaciones LumiApps para Android.
"A finales de mayo de 2023, los investigadores de Satori observaron actividad en foros de hackers y nuevas aplicaciones VPN que hacían referencia a un SDK de monetización, lumiapps[.]io", explica el informe de Satori.
"Tras una investigación más exhaustiva, el equipo determinó que este SDK tiene exactamente la misma funcionalidad y utiliza la misma infraestructura de servidor que las aplicaciones maliciosas analizadas como parte de la investigación de la versión anterior de PROXYLIB".
Una investigación posterior reveló un conjunto de 28 aplicaciones que utilizaban la biblioteca ProxyLib para convertir dispositivos Android en servidores proxy, que se enumeran a continuación:
VPN sencilla
Teclado de animaciones
Paso de fuego
VPN de hoja de bytes
Lanzador de Android 12 (por CaptainDroid)
Lanzador de Android 13 (por CaptainDroid)
Lanzador de Android 14 (por CaptainDroid)
Feeds de CaptainDroid
Películas clásicas antiguas gratuitas (por CaptainDroid)
Comparación de teléfonos (por CaptainDroid)
VPN de vuelo rápido
VPN rápida de Fox
VPN de línea rápida
Animación divertida de Char Ging
Bordes de limusina
OkoVPN
Lanzador de aplicaciones de teléfono
VPN de flujo rápido
VPN de muestra
Trueno seguro
Brilla Seguro
Surf de velocidad
VPN de escudo rápido
VPN de pista turbo
VPN de túnel turbo
VPN de destello amarillo
VPN ultra
Ejecutar VPN
LumiApps es una plataforma de monetización de aplicaciones de Android que afirma que su SDK utilizará la dirección IP de un dispositivo para cargar páginas web en segundo plano y enviar los datos recuperados a las empresas.
"Lumiapps ayuda a las empresas a recopilar información que está disponible públicamente en Internet. Utiliza la dirección IP del usuario para cargar en segundo plano varias páginas web de sitios web conocidos", se lee en el sitio web de LumiApps.
"Esto se hace de una manera que nunca interrumpe al usuario y cumple plenamente con GDPR/CCPA. Luego, las páginas web se envían a las empresas, que las utilizan para mejorar sus bases de datos, ofreciendo mejores productos, servicios y precios".
Sin embargo, no está claro si los desarrolladores de aplicaciones gratuitas sabían que el SDK estaba convirtiendo los dispositivos de sus usuarios en servidores proxy que podrían usarse para actividades no deseadas.
HUMAN cree que las aplicaciones maliciosas están vinculadas al proveedor ruso de servicios de proxy residencial 'Asocks' después de observar las conexiones realizadas al sitio web del proveedor de proxy. El servicio Asocks suele promocionarse entre los ciberdelincuentes en foros de piratería.
Descripción general operativa de Proxylib
(https://i.postimg.cc/WzBH65MK/app-proxylib.png) (https://postimages.org/)
En enero de 2024, LumiApps lanzó la segunda versión principal de su SDK junto con Proxylib v2. Según la empresa, esto solucionó "problemas de integración" y ahora es compatible con proyectos Java, Kotlin y Unity.
Tras el informe de HUMAN, Google eliminó todas las aplicaciones nuevas y restantes que utilizaban el SDK de LumiApps de Play Store en febrero de 2024 y actualizó Google Play Protect para detectar las bibliotecas de LumiApps utilizadas en las aplicaciones.
Mientras tanto, muchas de las aplicaciones enumeradas anteriormente ahora están disponibles nuevamente en la tienda Google Play, presumiblemente después de que sus desarrolladores eliminaron el SDK infractor. A veces se publicaban desde diferentes cuentas de desarrollador, lo que podría indicar prohibiciones de cuentas anteriores.
BleepingComputer se comunicó con Google para solicitar un comentario sobre el estado de las aplicaciones actualmente disponibles que usan los mismos nombres y si ahora son seguras, pero aún no hemos recibido respuesta.
Si ha utilizado una de las aplicaciones enumeradas, la actualización a la versión más reciente que no utiliza el SDK en particular detendrá la actividad de proxy. Sin embargo, por precaución, puede ser más seguro eliminarlos por completo.
Si la aplicación se eliminó de Google Play y no existe una versión segura, se recomienda desinstalarla. Play Protect también debería advertir a los usuarios en ese caso.
Por último, probablemente sea más seguro utilizar aplicaciones VPN de pago en lugar de servicios gratuitos, ya que muchos productos de esta última categoría están más dispuestos a implementar sistemas de monetización indirecta, incluida la recopilación/venta de datos, la publicidad y la inscripción en servicios proxy.
Actualización 27/03: un portavoz de Google envió a BleepingComputer el siguiente comentario:
Google Play Protect protege automáticamente a los usuarios al desactivar estas aplicaciones identificadas. Una vez que las aplicaciones están deshabilitadas, no pueden ejecutarse en el dispositivo ni dañarlo.
Google Play Protect también proporcionará una advertencia y preguntará a los usuarios si desean realizar una desinstalación completa.
El portavoz también confirmó que las 28 aplicaciones maliciosas reportadas por HUMAN ya han sido eliminadas de Google Play.
Por lo tanto, todas las aplicaciones con nombres iguales o similares a los mencionados en la lista anterior son completamente seguras de usar.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/free-vpn-apps-on-google-play-turned-android-phones-into-proxies/