Специалисты организации HUMAN Security выявили в официальном магазине Google Play свыше 15 бесплатных VPN-сервисов, которые применяли опасный программный код. В результате Android-гаджеты юзеров стали резидентными прокси, которые, скорее всего, реализовывались киберпреступникам и торговым ботам.
Всего специалисты нашли 28 вредоносных сервисов, которые скрыто превращали гаджеты в прокси. 17 из них маскировались под бесплатные VPN. Эти сервисы объединяет программный код от LumiApps, включающий Proxylib — написанную на языке программирования Go библиотеку для осуществления проксирования.
Всего специалисты нашли 28 вредоносных сервисов, которые скрыто превращали гаджеты в прокси. 17 из них маскировались под бесплатные VPN. Эти сервисы объединяет программный код от LumiApps, включающий Proxylib — написанную на языке программирования Go библиотеку для осуществления проксирования.
Первый сервис, который использовал Proxylib, был обнаружен ещё в мае 2023 года. Это был бесплатный VPN-сервис для Android под названием Oko VPN. Позже эксперты выяснили, что та же самая библиотека применяется в сервисе монетизации Android-приложений от LumiApps.
«В конце мая 2023 года наши специалисты заметили активность на хакерских форумах и новые VPN-приложения, ссылающиеся на SDK для монетизации lumiapps[.]io. После дальнейшего расследования команда определила, что этот SDK имеет точно такую же функциональность и использует ту же серверную инфраструктуру, что и вредоносные приложения, изученные нами ранее, в рамках исследования Proxylib», — рассказывают специалисты.
В ходе расследования было выявлено сразу 28 сервисов, которые используют библиотеку Proxylib для превращения Android-гаджетов в прокси.
LumiApps — это платформа для монетизации Android-приложений, которая утверждает, что её программный код использует IP-адреса устройств для загрузки веб-страниц в фоновом режиме и отправки полученных данных компаниям.
«Lumiapps помогает компаниям собирать информацию, которая находится в открытом доступе в интернете, используя IP-адреса пользователей для загрузки в фоновом режиме нескольких веб-страниц с известных сайтов, — гласит сайт LumiApps. — Это осуществляет таким образом, чтобы не прерывать работу пользователей и полностью соответствовать GDPR/CCPA. Затем веб-страницы передаются компаниям, которые используют их для улучшения своих баз данных, предлагая лучшие продукты, услуги и цены».
Неизвестно, знали ли создатели бесплатных сервисов о том, что упомянутый программный код превращает устройства их пользователей в прокси, которые затем могут использоваться для разнообразных нежелательных действий.
В отчёте отмечается, что в январе 2024 года LumiApps выпустила вторую версию своего программного кода, в которую была включена Proxylib v2. По словам представителей компании, в этой версии были устранены «проблемы интеграции», и теперь она поддерживает проекты на языках программирования Java, Kotlin и Unity.
В отчёте отмечается, что в январе 2024 года LumiApps выпустила вторую версию своего программного кода, в которую была включена Proxylib v2. По словам представителей компании, в этой версии были устранены «проблемы интеграции», и теперь она поддерживает проекты на языках программирования Java, Kotlin и Unity.
После публикации отчёта HUMAN Security компания Google удалила из магазина Google Play все сервисы, использующие программный код LumiApps, а в феврале 2024 года компания обновила Google Play Protect, чтобы защита могла обнаруживать библиотеки LumiApp в сервисах.
Любопытно, что многие из перечисленных выше сервисов вновь стали доступны в Google Play. Вероятно, их создатели избавились от вредоносного программного кода. При этом некоторые сервисы опубликованы от лица других аккаунтов разработчиков, что может говорить о бане старых учётных записей.
Любопытно, что многие из перечисленных выше сервисов вновь стали доступны в Google Play. Вероятно, их создатели избавились от вредоносного программного кода. При этом некоторые сервисы опубликованы от лица других аккаунтов разработчиков, что может говорить о бане старых учётных записей.