В магазине Google Play было замечено несколько вредоносных приложений для Android, которые превращают мобильные устройства под управлением операционной системы в прокси-серверы (RESIP) для других участников угрозы.
Выводы получены от команды Satori Threat Intelligence компании HUMAN, которая сообщила, что кластер VPN-приложений был оснащен библиотекой Golang, которая превращала устройство пользователя в прокси-узел без его ведома.
Компания получила кодовое название PROXYLIB. С тех пор Google удалил 29 приложений, о которых идет речь.
Локальные прокси-серверы - это сеть прокси-серверов, получаемых от реальных IP-адресов, предоставляемых интернет-провайдерами (ISP), которые помогают пользователям скрывать свои реальные IP-адреса, направляя их интернет-трафик через сервер-посредник.
Помимо преимуществ анонимности, они созрели для злоупотреблений со стороны злоумышленников, которые не только скрывают свое происхождение, но и проводят широкий спектр атак.
"Когда субъект угрозы использует локальный прокси-сервер, трафик от этих атак, по-видимому, поступает с других локальных IP-адресов, а не с IP-адреса центра обработки данных или других частей инфраструктуры субъекта угрозы", - сказали исследователи безопасности. "Многие субъекты угроз покупают доступ к этим сетям для облегчения своих операций".
Некоторые из этих сетей могут быть созданы операторами вредоносных программ, обманом заставляющими ничего не подозревающих пользователей устанавливать поддельные приложения, которые по сути загоняют устройства в ботнет, который затем монетизируется для получения прибыли путем продажи доступа другим клиентам.
Обнаруженные HUMAN VPN-приложения для Android предназначены для установления контакта с удаленным сервером, подключения зараженного устройства к сети и обработки любых запросов от прокси-сети.
Еще одним примечательным аспектом этих приложений является то, что их подмножество, выявленное в период с мая по октябрь 2023 года, включает набор для разработки программного обеспечения (SDK) от LumiApps, который содержит функциональность proxyware. В обоих случаях вредоносная программа реализована с использованием встроенной библиотеки Golang.
LumiApps также предлагает услугу, которая, по сути, позволяет пользователям загружать любой APK-файл по своему выбору, включая законные приложения, и подключать к нему SDK без необходимости создавать учетную запись пользователя, которую затем можно повторно загрузить и поделиться с другими.
"LumiApps помогает компаниям собирать информацию, которая находится в открытом доступе в Интернете", - говорится на веб-сайте израильской компании. "Они используют IP-адрес пользователя для загрузки нескольких веб-страниц в фоновом режиме с известных веб-сайтов".
"Это сделано таким образом, чтобы никогда не отвлекать пользователя и полностью соответствует GDPR / CCPA. Затем веб-страницы отправляются компаниям, которые используют их для улучшения своих баз данных, предлагая лучшие продукты, услуги и цены."
Эти модифицированные приложения, называемые модами, затем распространяются в Google Play Store и из него. LumiApps продвигает себя и SDK как альтернативный метод монетизации приложений вместо показа рекламы.
Есть свидетельства, указывающие на то, что исполнитель угрозы, стоящий за PROXYLIB, продает доступ к прокси-сети, созданной зараженными устройствами, через LumiApps и Asocks, компании, которая рекламирует себя как продавца локальных прокси-серверов.
Более того, стремясь внедрить SDK в как можно большее количество приложений и расширить размер ботнета, LumiApps предлагает денежное вознаграждение разработчикам в зависимости от объема трафика, проходящего через устройства пользователей, на которых установлены их приложения. Сервис SDK также рекламируется в социальных сетях и на форумах black hat.
Недавнее исследование, опубликованное Orange Cyberdefense и Sekoia, охарактеризовало локальные прокси-серверы как часть "фрагментированной, но взаимосвязанной экосистемы", в которой услуги прокси-программ рекламируются различными способами, начиная от добровольных взносов в специализированные магазины и каналов перепродажи.
"[В случае SDK] прокси-программы часто встроены в продукт или услугу", - отметили компании. Пользователи могут не заметить, что прокси-программа будет установлена, принимая условия использования основного приложения, в которое она встроена. Отсутствие прозрачности приводит к тому, что пользователи делятся своим интернет-подключением без четкого понимания."
Разработка происходит после того, как Lumen Black Lotus Labs раскрыла, что устаревшие маршрутизаторы для малого дома / малого офиса (SOHO) и устройства интернета вещей (IoT) были скомпрометированы ботнетом, известным как TheMoon, для питания криминального прокси-сервиса под названием Faceless.
