Como VPNs gratuitas podem transformar seu telefone em um proxy sem você saber!
Verifique se você instalou a versão mais recente de um desses aplicativos VPN gratuitos © Inna Kot/Shutterstock
Mais de 15 aplicativos VPN gratuitos no Google Play usaram um SDK malicioso, transformando dispositivos Android em proxies residenciais.
câmeras de segurança residenciais. Eles normalmente são utilizados legalmente, como para fins de pesquisa de mercado, verificação de anúncios e otimização de mecanismos de pesquisa.
Embora os servidores proxy sirvam a propósitos legítimos, como melhorar o desempenho do site e aprimorar as medidas de segurança, eles também se tornaram populares entre os cibercriminosos para atividades maliciosas, como fraude publicitária, spam, phishing e outros atos nefastos. Estes criminosos utilizam proxies residenciais para ocultar as suas identidades e localizações reais, complicando assim os esforços para identificar e impedir as suas ações ilegais.
Nada menos que 17 aplicativos estão disponíveis na Google Play Store, dos 28 descobertos por pesquisadores contendo um SDK (um kit de desenvolvimento de aplicativos) infectado e transformando os dispositivos de seus usuários em proxies, apesar deles. Com efeito, sem saber, e provavelmente atraídos pela natureza gratuita de uma VPN, os utilizadores vítimas, após instalarem estas aplicações infectadas, são então considerados culpados no caso de fraude cometida por piratas.
ProxyLib, o SDK malicioso que infecta aplicativos VPN gratuitos
Pesquisadores de segurança humana descobriram que todos os aplicativos em questão usavam um kit de desenvolvimento de software (SDK) da LumiApps, que continha “ProxyLib”, uma biblioteca golang para proxy.
Em maio de 2023, eles identificaram o primeiro aplicativo usando ProxyLib, uma VPN gratuita para Android chamada Oko VPN. Posteriormente, os pesquisadores encontraram a mesma biblioteca usada pelo serviço de monetização de aplicativos Android LumiApps, conforme afirmam em seu relatório: “No final de maio de 2023, a equipe Satori notou atividade em fóruns de hackers e novos aplicativos VPN fazendo referência a um SDK de monetização, lumiapps[.]io. »
Após uma investigação mais aprofundada, parece que este SDK tem exatamente a mesma funcionalidade e utiliza a mesma infraestrutura de servidor que as aplicações maliciosas analisadas durante a investigação da versão anterior do ProxyLib. LumiApps é usado legalmente para fins de pesquisa publicitária.
Os investigadores identificaram e compilaram com sucesso uma lista abrangente de 28 aplicativos distintos que utilizavam a biblioteca ProxyLib, permitindo assim que dispositivos Android funcionassem como servidores proxy.
-VPN leve
-Teclado Anime
-Passo Blaze
-Byte Blade VPN
-Iniciador do Android 12 (por CaptainDroid)
-Iniciador do Android 13 (por CaptainDroid)
-Iniciador do Android 14 (por CaptainDroid)
-Feeds do CaptainDroid
-Filmes clássicos antigos gratuitos (por CaptainDroid)
-Comparação de telefones (por CaptainDroid)
-VPN Fast Fly
-VPN Fast Fox
-VPN de linha rápida
-Animação engraçada de Char Ging
-Bordas de limusine
-Ok VPN
-Iniciador de aplicativos de telefone
-VPN de fluxo rápido
-Exemplo de VPN
-Trovão Seguro
-Brilhe Seguro
-Surf rápido
-VPN Swift Shield
-VPN TurboTrack
-VPN Túnel Turbo
-VPN Flash Amarelo
-UltraVPN
-Execute VPN
No entanto, não está claro se os desenvolvedores de aplicativos gratuitos estavam cientes de que o SDK estava transformando os dispositivos de seus usuários em servidores proxy que poderiam ser usados para atividades indesejadas.
Investigações recentes sugerem que as aplicações malévolas em questão podem estar associadas ao Asocks, um proeminente fornecedor de serviços de proxy residencial russo, com base em observações de ligações estabelecidas com o seu website. Notavelmente, este serviço específico tem sido frequentemente endossado por elementos cibercriminosos em vários fóruns de hackers.
Esses aplicativos estariam vinculados ao Asocks, um provedor de proxy russo © khunkornStudio/Shutterstock
Google trabalhando para livrar a Play Store de aplicativos infectados
Em janeiro de 2024, a LumiApps lançou a segunda versão principal de seu SDK, bem como o ProxyLib v2. Segundo a empresa, esta versão resolveu problemas de integração, e agora oferece suporte a projetos Java, Kotlin e Unity. Pouco depois, e seguindo o relatório publicado sobre Segurança Humana, o Google removeu todos os aplicativos novos e restantes que usavam o SDK LumiApps da Play Store em fevereiro de 2024. A empresa também atualizou o Google Play Protect para detectar bibliotecas LumiApp usadas em aplicativos.
Enquanto isso, muitos dos aplicativos listados acima foram disponibilizados novamente na Google Play Store, provavelmente depois que seus desenvolvedores removeram o SDK ofensivo. Às vezes, eles eram postados de contas de desenvolvedores diferentes, o que poderia indicar banimentos anteriores de contas. Por outro lado, o Google ainda não se pronunciou sobre a confiabilidade dos aplicativos que voltam a ser disponibilizados.
Portanto, é necessário cuidado. Se você usou um dos aplicativos listados, atualizar para a versão mais recente, que não usa o SDK em questão, encerrará a atividade do proxy. No entanto, é melhor removê-los completamente. Caso o aplicativo tenha sido removido do Google Play e não exista uma versão segura, é recomendado desinstalá-lo. O Play Protect também deve alertar os usuários neste caso.
Em última análise, a utilização de aplicações pagas de redes privadas virtuais (VPN) pode ser uma escolha mais prudente em comparação com a utilização de serviços gratuitos, dado que numerosas ofertas dentro deste último grupo tendem a empregar métodos mais secretos para gerar receitas, tais como a recolha de dados do utilizador, a exibição de anúncios, a exigência de registros com procuradores de terceiros e até mesmo venda de informações em determinadas circunstâncias. Felizmente, esta plataforma fornece uma avaliação das opções de VPN mais bem avaliadas.
22 de março de 2024 às 14h04. Comparações de serviços
Fontes: Segurança Humana, BleepingComputer
*️⃣ Link da fonte: