Vários aplicativos Android maliciosos foram observados na Google Play Store que transformam dispositivos móveis que executam o sistema operacional em proxies residenciais (RESIPs) para outros atores de ameaças.
As descobertas vêm da equipe Satori Threat Intelligence da HUMAN, que afirma que clusters de aplicativos VPN incluíam uma biblioteca Golang que transformava silenciosamente os dispositivos dos usuários em nós proxy.
Esta operação tem um nome de código costela proxy Por empresa. Os 29 aplicativos em questão já foram removidos pelo Google.
Um proxy residencial é uma rede de servidores proxy provenientes de endereços IP reais fornecidos por um Provedor de Serviços de Internet (ISP) que permite aos usuários ocultar seus endereços IP reais roteando seu tráfego de Internet através de um servidor intermediário.
Para além do benefício do anonimato, estão prontos para serem explorados por agentes de ameaças, não só para ofuscar as suas origens, mas também para realizar uma vasta gama de ataques.
“Quando os agentes da ameaça usam proxies residenciais, o tráfego desses ataques parece vir de um endereço IP residencial diferente, em vez dos IPs do data center ou de outras partes da infraestrutura do agente da ameaça”, disse o pesquisador de segurança. “Muitos atores de ameaças adquirem acesso a essas redes para facilitar suas operações”.
Algumas dessas redes são criadas por operadores de malware para induzir usuários desavisados a instalar aplicativos falsos. O aplicativo basicamente bloqueia seu dispositivo em uma botnet e o monetiza vendendo acesso a outros clientes.
Os aplicativos Android VPN descobertos pela HUMAN são projetados para estabelecer conexões com servidores remotos, registrar dispositivos infectados na rede e lidar com solicitações de redes proxy.
Outra característica notável desses aplicativos é que um subconjunto de aplicativos identificados entre maio e outubro de 2023 incorpora o kit de desenvolvimento de software (SDK) da LumiApps, que inclui funcionalidade de proxyware. Em ambos os casos, a funcionalidade maliciosa é executada usando bibliotecas Golang nativas.
LumiApps também oferece um serviço que basicamente permite aos usuários fazer upload de qualquer arquivo APK contendo um aplicativo legítimo e agrupar um SDK com ele sem criar uma conta de usuário. Isso permite que você baixe novamente o arquivo e compartilhe-o com outras pessoas.
“A LumiApps ajuda as empresas a coletar informações publicamente disponíveis na Internet”, afirma a empresa israelense em seu site. “Ele usa seu endereço IP para carregar várias páginas da web em segundo plano de sites populares.”
“Isso é feito de uma forma que nunca interrompe o usuário e é totalmente compatível com GDPR/CCPA. A página da Web é então enviada para as empresas, que podem melhorar seus bancos de dados e fornecer melhores produtos, serviços e preços. Use-a para fornecer
Esses aplicativos modificados (chamados MODs) são distribuídos dentro e fora da Google Play Store. LumiApps promove a si mesmo e seu SDK como uma forma alternativa de monetizar seu aplicativo para renderização de anúncios.
Há evidências de que os agentes de ameaças por trás do PROXYLIB vendem acesso a redes proxy criadas por dispositivos infectados por meio da Asocks, uma empresa que promove LumiApps e vendedores de proxy residenciais.
Além disso, em um esforço para incorporar o SDK ao maior número possível de aplicativos e aumentar o tamanho da botnet, a LumiApps oferece recompensas em dinheiro aos desenvolvedores com base na quantidade de tráfego roteado através dos dispositivos dos usuários nos quais seus aplicativos estão instalados. Os serviços SDK também são promovidos em mídias sociais e fóruns de black hat.
Um estudo recente publicado pela Orange Cyberdefense e Sekoia caracteriza os proxies residenciais como parte de um “ecossistema fragmentado, mas interconectado”, e espera-se que os serviços de proxyware recebam doações voluntárias. Eles são promovidos de diversas maneiras, desde lojas dedicadas até canais de revenda.
”[In the case of SDKs]“O proxyware é frequentemente incorporado em produtos e serviços”, observaram as empresas. Os usuários podem não estar cientes de que o proxyware está sendo instalado quando concordam com os termos e condições do aplicativo principal no qual ele está incorporado. Essa falta de transparência leva os usuários a compartilhar proxyware. Você está se conectando à Internet sem um entendimento claro. ”
O desenvolvimento ocorre no momento em que o Lumen Black Lotus Labs relata que roteadores pequenos de casa/escritório (SOHO) End of Life (EoL) e dispositivos IoT foram hackeados por um botnet conhecido como TheMoon para alimentar um serviço de agência criminosa chamado Faceless. ficou claro que estava comprometido.
