Titkos proxy hálózatok: Android alkalmazások változtatják a zombi csomóponttá a telefonokat
A HUMAN Satori Threat Intelligence csapata által a Google Play Áruházban azonosított rosszindulatú Android-alkalmazások egy csoportja a felhasználók tudta nélkül, titokban lakóhelyi proxyként alakítja át a felhasználók eszközeit. Ezek a VPN-alkalmazások egy Golang-könyvtárral voltak beágyazva, ami lehetővé tette számukra, hogy proxy-csomópontokként működjenek, megkönnyítve a felhasználók anonimitását az internetforgalomnak az internetszolgáltatók által biztosított valódi IP-címeken keresztül történő átirányításával. A HUMAN által PROXYLIB névre keresztelt művelet 29 alkalmazást érintett, amelyeket a Google azóta eltávolított. A lakossági proxyk használatával, bár azok anonimitást biztosítanak, a fenyegető szereplők viszonylagos biztonságban, tartózkodási helyüket meghamisítva tudják támadásaikat végrehajtani.
A felfedezett rosszindulatú Android VPN-alkalmazásokat úgy tervezték, hogy csatlakozzanak egy távoli szerverhez, regisztrálják az eszközt egy proxy-hálózatba, és feldolgozzák a hálózatról érkező kéréseket. Ezen alkalmazások egy részhalmaza, amelyet 2023 májusa és októbere között azonosítottak, a LumiApps SDK-ját tartalmazta, amely egy natív Golang könyvtár segítségével proxyware-funkciókat épített be. Ez az SDK lehetővé tette bármely APK-fájl – beleértve a legális alkalmazásokat is – módosítását úgy, hogy az tartalmazza ezt a proxyware-t, amelyet aztán a Google Play Store-on belül és kívül is megosztottak. A LumiApps azt állította, hogy szolgáltatásuk, amely a felhasználó IP-címét használva a háttérben tölti be a weboldalakat, megfelel a GDPR/CCPA-nak, és alternatívát kínál a hagyományos alkalmazás-monetizációs stratégiákkal szemben.
A PROXYLIB mögött álló fenyegető szereplő a jelentések szerint olyan szolgáltatásokon keresztül árulja a hozzáférést a fertőzött eszközök által létrehozott proxy-hálózathoz, mint a LumiApps és a lakossági proxykat hirdető Asocks. A LumiApps pénzjutalommal ösztönzi a fejlesztőket a fertőzött alkalmazásokon keresztül irányított forgalomért, ezzel is elősegítve a botnet terjedését. Ez a helyzet rávilágít egy szélesebb ökoszisztémára, ahol a lakossági proxykat és proxyware-szolgáltatásokat különböző csatornákon keresztül forgalmazzák, gyakran a proxyware-t a felhasználó egyértelmű beleegyezése nélkül ágyazzák be az alkalmazásokba. Az átláthatóság hiánya aggodalomra ad okot, mivel a felhasználók tudtukon kívül megosztják internetkapcsolatukat, és ezzel hozzájárulnak egy potenciálisan káros botnet működéséhez.
(forrás)
