تبدیل دستگاههای اندرویدی به پروکسی مخرب با برنامههای VPN رایگان در Google Play
اخبار داغ فناوری اطلاعات و امنیت شبکه
بیش از ١۵ برنامه رایگان VPN در Google Play با استفاده از یک کیت توسعه نرمافزار مخرب که دستگاههای Android را به پراکسیهای خصوصی ناخواسته تبدیل میکرد، کشف شدهاند که احتمالا برای جرایم سایبری و باتهای خرید استفاده میشوند.
پراکسیهای خصوصی دستگاههایی هستند که ترافیک اینترنت را از طریق دستگاههایی که در خانههای دیگر کاربران راه دور قرار دارند هدایت میکنند و باعث میشوند ترافیک قانونی به نظر برسد و احتمال مسدود شدن آن کمتر باشد.
درحالیکه آنها کاربردهای قانونی برای تحقیقات بازار، تایید تبلیغات و سئو دارند، بسیاری از مجرمان سایبری از آنها برای پنهان کردن فعالیتهای مخرب، ازجمله کلاهبرداری تبلیغاتی، ارسال هرزنامه، فیشینگ، استافینگ اعتبارنامه، و Password Spraying استفاده میکنند.
کاربران ممکن است داوطلبانه در سرویسهای پراکسی ثبت نام کنند تا در ازای آن پاداشهای پولی یا دیگر موارد را دریافت کنند، اما برخی از این خدمات پراکسی از ابزارهای غیراخلاقی و پنهانی برای نصب مخفیانه ابزارهای پروکسی خود بر روی دستگاههای افراد استفاده میکنند.
در صورت نصب مخفیانه، بدون اطلاع قربانیان، پهنای باند اینترنت آنها ربوده شده و به دلیل استفاده بهعنوان منبع فعالیتهای مخرب، با مشکلات قانونی مواجه میشوند.
پروکسی کردن برنامههای VPN اندروید
گزارشی که امروز توسط تیم اطلاعاتی تهدیدات Satori HUMAN منتشر شد، ٢٨ برنامه کاربردی در Google Play را فهرست میکند که مخفیانه دستگاههای اندروید را به سرورهای پراکسی تبدیل میکنند. از این ٢٨ برنامه، ١٧ برنامه بهعنوان نرمافزار رایگان VPN معرفی شدهاند.
تحلیلگران Satori گزارش میدهند که برنامههای متخلف همگی از یک کیت توسعه نرمافزار (SDK) متعلق به LumiApps استفاده میکردند که حاوی "Proxylib" که یک لایبرری Golang برای انجام پروکسی بوده، میباشد.
گروه HUMAN اولین برنامه حامل PROXYLIB را در می ٢٠٢٣ کشف کرد، کع یک برنامه رایگان VPN اندروید با نام "Oko VPN" بود. محققان بعدا همان لایبرری را در حالی پیدا کردند که توسط سرویس درآمدزایی اپلیکیشن اندروید LumiApps استفاده میشد.
گزارش Satori توضیح میدهد: "در اواخر ماه مه ٢٠٢٣، محققان Satori فعالیتهایی را در انجمنهای هکرها و برنامههای VPN جدید که به یک SDK کسب درآمد، lumiapps[.]io مرتبط است، مشاهده کردند. پس از بررسی بیشتر، تیم تشخیص داد که این SDK دقیقا همان عملکرد را دارد و از زیرساخت سرور یکسانی استفاده میکند که برنامههای مخرب بهعنوان بخشی از بررسی نسخه قبلی PROXYLIB از آن بهره میبرند".
تحقیقات بعدی مجموعهای از ٢٨ برنامه را نشان داد که از لایبرری ProxyLib برای تبدیل دستگاههای Android به پراکسی استفاده میکردند که در زیر فهرست شدهاند:
• Lite VPN
• Anims Keyboard
• Blaze Stride
• Byte Blade VPN
• Android 12 Launcher (توسط CaptainDroid)
• Android 13 Launcher (توسط CaptainDroid)
• Android 14 Launcher (توسط CaptainDroid)
• CaptainDroid Feeds
• Free Old Classic Movies (توسط CaptainDroid)
• Phone Comparison (توسط CaptainDroid)
• Fast Fly VPN
• Fast Fox VPN
• Fast Line VPN
• Funny Char Ging Animation
• Limo Edges
• Oko VPN
• Phone App Launcher
• Quick Flow VPN
• Sample VPN
• Secure Thunder
• Shine Secure
• Speed Surf
• Swift Shield VPN
• Turbo Track VPN
• Turbo Tunnel VPN
• Yellow Flash VPN
• VPN Ultra
• Run VPN
پلتفرم LumiApps یک پلتفرم کسب درآمد از برنامه اندروید است که اذعان میکند SDK آن از آدرس IP دستگاه برای بارگیری صفحات وب در پسزمینه و ارسال دادههای بازیابی شده برای شرکتها استفاده میکند.
در وبسایت LumiApps آمده است: "Lumiapps به شرکتها کمک میکند تا اطلاعاتی را که بهصورت عمومی در اینترنت در دسترس است جمعآوری کنند؛ و از آدرس IP کاربر برای بارگذاری چندین صفحه وب در پسزمینه از وبسایتهای معروف استفاده میکند".
در ادامه توضیح این پلتفرم آمده است: "این کار به گونهای انجام میشود که هرگز کار کاربر را مختل نمیکند و به طور کامل با GDPR/CCPA مطابقت دارد. سپس صفحات وب برای شرکتها ارسال میشوند که از آنها برای بهبود پایگاه داده خود، ارائه محصولات، خدمات و قیمت بهتر استفاده میکنند".
بااینحال، مشخص نیست که آیا توسعهدهندگان اپلیکیشن رایگان میدانستند که SDK دستگاههای کاربرانشان را به سرورهای پراکسی تبدیل میکند که میتوانند برای فعالیتهای ناخواسته استفاده شوند یا خیر!
گروه HUMAN پس از مشاهده اتصالات ایجاد شده معتقد است که برنامههای مخرب به وبسایت ارائهدهنده خدمات پروکسی خصوصی روسیه «Asocks» مرتبط میباشند. سرویس Asocks معمولا در انجمنهای هک به مجرمان سایبری ارائه و معرفی میشود.
در ژانویه ٢٠٢٤، LumiApps دومین نسخه اصلی SDK خود را به همراه Proxylib v2 منتشر کرد. به گفته این شرکت، این نسخه به «مشکلات یکپارچهسازی» میپردازد و اکنون از پروژههای جاوا، کاتلین و یونیتی پشتیبانی میکند.
بهدنبال گزارش HUMAN، مجموعه Google در فوریه ٢٠٢٤ هر برنامه جدید و باقیمانده با استفاده از LumiApps SDK را از فروشگاه Play حذف کرد و Google Play Protect را برای شناسایی لایبرریهای LumiApp مورد استفاده در برنامهها به روز نمود.
در همین حال، احتمالا پس از اینکه توسعهدهندگان آنها SDK متخلف را حذف کردند، بسیاری از برنامههای لیست شده مذکور دوباره در فروشگاه Google Play در دسترس هستند. آنها گاهی اوقات از حسابهای توسعهدهنده مختلف منتشر میشدند که به طور بالقوه نشاندهنده ممنوعیت حسابهای قبلی منتشرکنندگان این برنامهها است.
اگر از یکی از برنامههای فهرست شده استفاده کردهاید، بروزرسانی به جدیدترین نسخه که از SDK خاصی استفاده نمیکند، باعث میشود که فعالیت پروکسی متوقف شود. بااینحال، به دلیل احتیاط فراوان، حذف کامل آنها احتمالا راهحل ایمنتری میباشد.
اگر برنامهها از Google Play حذف شده است و نسخه ایمنی وجود ندارد، توصیه میشود آن را حذف نصب کنید. همچنین Play Protect باید در این مورد بهکاربران هشدار دهد.
احتمالا برنامههای VPN پولی بهجای خدمات رایگان، ایمنتر است، زیرا بسیاری از محصولات رایگان اشتیاق بیشتری برای پیادهسازی سیستمهای درآمدزایی غیرمستقیم، ازجمله جمعآوری/فروش داده، تبلیغات و ثبتنام در خدمات پروکسی دارند.
برچسب ها: Run VPN, VPN Ultra, Yellow Flash VPN, Turbo Tunnel VPN, Turbo Track VPN, Swift Shield VPN, Sample VPN, Quick Flow VPN, Fast Line VPN, Fast Fox VPN, Fast Fly VPN, Launcher, Byte Blade VPN, Blaze Stride, Lite VPN, Residential Proxy, Asocks, GDPR/CCPA, Software Development Kit, PROXYLIB, Oko VPN, LumiApps, Cyber Attack, Password Spray, Cyberspionage, Library, Proxy Server, Proxy, Platform, لایبرری, SDK, پروکسی, پلتفرم, Bot, cybersecurity, IP Address, آسیبپذیری, Vulnerability, Google Play Protect, گوگل پلی, Google Play, phishing, Android , VPN, جاسوسی سایبری, گوگل, فیشینگ, اندروید, امنیت سایبری, جنگ سایبری, حریم خصوصی, حمله سایبری, news