app VPN gratuite su Google Play trasformano i telefoni Android in proxy

Vai ai contenuti

app VPN gratuite su Google Play trasformano i telefoni Android in proxy

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 26 Marzo 2024
Tags: #VPN#GooglePlay#android
app VPN gratuite su Google Play hanno trasformato i telefoni Android in proxy



Sono state trovate oltre 15 app VPN gratuite su Google Play che utilizzavano un kit di sviluppo software dannoso che trasformava i dispositivi Android in proxy residenziali inconsapevoli, probabilmente utilizzati per la criminalità informatica e i bot per gli acquisti.

I proxy residenziali sono dispositivi che instradano il traffico Internet attraverso dispositivi situati nelle case di altri utenti remoti, facendo apparire il traffico legittimo e meno probabile che venga bloccato.

Sebbene abbiano usi legittimi per ricerche di mercato, verifica degli annunci e SEO, molti criminali informatici li utilizzano per nascondere attività dannose, tra cui frodi pubblicitarie, spamming, phishing, credential stuffing e password spraying.

Gli utenti possono registrarsi volontariamente sui servizi proxy per ottenere in cambio ricompense monetarie o di altro tipo, ma alcuni di questi servizi proxy utilizzano mezzi non etici e loschi per installare segretamente i propri strumenti di proxy sui dispositivi delle persone.

Se installati segretamente, le vittime subiranno il dirottamento della larghezza di banda Internet a loro insaputa e rischieranno problemi legali perché appaiono come fonte di attività dannose.



Un rapporto pubblicato oggi dal team di intelligence sulle minacce Satori di HUMAN elenca 28 applicazioni su Google Play che hanno segretamente trasformato i dispositivi Android in server proxy. Di queste 28 applicazioni, 17 sono state spacciate per software VPN gratuite.

Gli analisti di Satori riferiscono che le app incriminate utilizzavano tutte un kit di sviluppo software (SDK) di LumiApps che conteneva "Proxylib", una libreria Golang per eseguire il proxy.

HUMAN ha scoperto la prima app dell'operatore PROXYLIB nel maggio 2023, un'app VPN Android gratuita denominata "Oko VPN".
I ricercatori hanno successivamente trovato la stessa libreria utilizzata dal servizio di monetizzazione delle app Android LumiApps.

"Alla fine di maggio 2023, i ricercatori di Satori hanno osservato attività sui forum di hacker e sulle nuove applicazioni VPN che facevano riferimento a un SDK di monetizzazione, lumiapps[.]io", spiega il rapporto di Satori.

"Dopo ulteriori indagini, il team ha stabilito che questo SDK ha esattamente la stessa funzionalità e utilizza la stessa infrastruttura server delle applicazioni dannose analizzate nell'ambito dell'indagine sulla versione precedente di PROXYLIB. "

Un'indagine successiva ha rivelato un set di 28 app che utilizzavano la libreria ProxyLib per convertire i dispositivi Android in proxy, elencate di seguito:

  •     VPN leggera
  •     Tastiera degli animali
  •     Passo Blaze
  •     VPN Byte Blade
  •     Launcher Android 12 (di CaptainDroid)
  •     Launcher Android 13 (di CaptainDroid)
  •     Launcher Android 14 (di CaptainDroid)
  •     Feed di CaptainDroid
  •     Vecchi film classici gratuiti (di CaptainDroid)
  •     Confronto telefoni (di CaptainDroid)
  •     VPN con volo veloce
  •     VPN Fox veloce
  •     VPN con linea veloce
  •     Divertente animazione di Char Ging
  •     Bordi della limousine
  •     Ok VPN
  •     Avvio app per telefono
  •     VPN a flusso rapido
  •     VPN di esempio
  •     Tuono sicuro
  •     Brilla sicuro
  •     Surf veloce
  •     VPN Swift Shield
  •     Turbo Track VPN
  •     VPN TurboTunnel
  •     VPN Flash Giallo
  •     VPN Ultra
  •     Esegui VPN

LumiApps è una piattaforma di monetizzazione di app Android che afferma che il suo SDK utilizzerà l'indirizzo IP di un dispositivo per caricare pagine Web in background e inviare i dati recuperati alle aziende.

"LumiApps aiuta le aziende a raccogliere informazioni che sono pubblicamente disponibili su Internet.
Utilizza l'indirizzo IP dell'utente per caricare in background diverse pagine Web di siti Web noti", si legge sul sito Web di LumiApps.

"Ciò avviene in un modo che non interrompe mai l'utente e rispetta pienamente il GDPR/CCPA. Le pagine web vengono poi inviate alle aziende, che le utilizzano per migliorare i propri database, offrendo prodotti, servizi e prezzi migliori."


Tuttavia, non è chiaro se gli sviluppatori di app gratuite sapessero che l'SDK stava convertendo i dispositivi dei loro utenti in server proxy che potevano essere utilizzati per attività indesiderate.

HUMAN ritiene che le app dannose siano collegate al fornitore russo di servizi proxy residenziali "Asocks" dopo aver osservato le connessioni effettuate al sito web del fornitore proxy. Il servizio Asocks viene comunemente promosso ai criminali informatici nei forum di hacking.


Nel gennaio 2024, LumiApps ha rilasciato la seconda versione principale del suo SDK insieme a Proxylib v2. Secondo l'azienda, questo ha risolto "problemi di integrazione" e ora supporta progetti Java, Kotlin e Unity.

A seguito del rapporto di HUMAN, Google ha rimosso tutte le app nuove e rimanenti utilizzando l'SDK LumiApps dal Play Store nel febbraio 2024 e ha aggiornato Google Play Protect per rilevare le librerie LumiApp utilizzate nelle app.

Nel frattempo, molte delle app sopra elencate sono ora nuovamente disponibili sul Google Play Store, presumibilmente dopo che i loro sviluppatori hanno rimosso l'SDK incriminato.
A volte venivano pubblicati da diversi account sviluppatore, indicando potenzialmente precedenti divieti di account.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti