Google Play出現多款帶有惡意行為的VPN軟體將用戶手機變成家寬代理
家庭寬頻代理是灰產行業一直都有巨大需求的一種產品,部分網站的安全策略會禁止資料中心IP 位址訪問,因此一些惡意爬蟲或不良行為的爬蟲會透過購買家庭寬頻來代理自己的爬蟲,即爬蟲會經過家寬IP 中轉,這樣可以避免被攔截。
在Google Play 商店裡研究人員發現多款免費或付費的VPN 軟體存在惡意的SDK 工具包,這些SDK 會將用戶手機變成家寬代理共享給駭客。
也就是說當使用者安裝並使用這些VPN 時,實際上駭客可以透過使用者的手機來執行某些惡意操作,只不過惡意操作不是針對使用者的,而是針對其他網站或目標。
![image-82.png](https://i0.wp.com/static.cnbetacdn.com/article/2024/0327/be297a34696052c.png?w=640&ssl=1)
安全公司HUMAN 的Satori 威脅情報團隊在報告中指出,在Google Play 中偵測到28 款VPN 類別或工具類應用,其中17 個冒充是免費的VPN 軟體,這些都攜帶一個名為ProxyLib 的函式庫。
這個庫來自Android 應用貨幣化平台LumiApps,該平台為開發者提供廣告收入,只需要集成他們的SDK 即可,表面上LumiApps 稱幫助一些企業收集互聯網上的公開信息,它使用用戶的IP 地址在後台載入多個知名網站的多個網頁,然後將資料發給這些公司。
![lite-vpn.webp](https://i0.wp.com/static.cnbetacdn.com/article/2024/0327/a0cb1973bea17ee.webp?w=640&ssl=1)
![image-83.png](https://i0.wp.com/static.cnbetacdn.com/article/2024/0327/72900b046c88756.png?w=640&ssl=1)
然而經過溯源,LumiApps 平台與俄羅斯住宅代理服務提供者(專門提供家寬IP 的平台) Asocks 有關聯,Asocks 則是在駭客論壇上宣傳自己的服務,吸引駭客使用。
到今年1 月LumiApps 發布了ProxyLib v2 版解決整合問題並支援Java、Kotlin 和Unity 項目,吸引更多開發者將其整合到自己的App 中。
接到HUMAN 的報告後,Google從2 月刪除了整合這個惡意庫的應用程序,同時也改進了檢測流程自動偵測應用程式是否使用了ProxyLib 函式庫。
而先前被下架的一些VPN 軟體也重新上架了,不知道是不是刪除了這個庫後重新提交到Google Play 並且審核通過了。
這28 款有問題的應用程式清單如下:
- Lite VPN
- Anims Keyboard
- Blaze Stride
- Byte Blade VPN
- Android 12 Launcher (by CaptainDroid)
- Android 13 Launcher (by CaptainDroid)
- Android 14 Launcher (by CaptainDroid)
- CaptainDroid Feeds
- Free Old Classic Movies (by CaptainDroid)
- Phone Comparison (by CaptainDroid)
- Fast Fly VPN
- Fast Fox VPN
- Fast Line VPN
- Funny Char Ging Animation
- Limo Edges
- Oko VPN
- Phone App Launcher
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- Shine Secure
- Speed Surf
- Swift Shield VPN
- Turbo Track VPN
- Turbo Tunnel VPN
- Yellow Flash VPN
- VPN Ultra
- Run VPN