最近,HUMAN的Satori威胁情报团队发布了一份报告,揭示了超过15款在Google Play上发现的免费VPN应用程序使用了恶意软件开发工具包(SDK),将Android设备转变为不知情的住宅代理。这些代理可能被用于网络犯罪和购物机器人。
什么是住宅代理?
住宅代理是将互联网流量通过位于家庭中的设备进行路由的设备,使得流量看起来是合法的,更不容易被屏蔽。尽管它们在市场研究、广告验证和SEO等方面有合法用途,但许多网络犯罪分子利用它们来掩盖恶意活动,包括广告欺诈、垃圾邮件、网络钓鱼、凭证填充和密码喷射。
用户可能会自愿注册代理服务,以换取金钱或其他奖励,但一些代理服务使用不道德和阴暗的手段,秘密地在用户设备上安装其代理工具。
VPN应用程序的隐患
根据Satori的报告,28款应用程序被秘密转变为代理服务器,其中17款被伪装成免费VPN软件。所有这些应用程序都使用了LumiApps的SDK,其中包含“Proxylib”,这是一个用于执行代理的Golang库。
发现的恶意应用程序列表
以下是利用ProxyLib库将Android设备转变为代理的28款应用程序:
- Lite VPN
- Anims Keyboard
- Blaze Stride
- Byte Blade VPN
- Android 12 Launcher (by CaptainDroid)
- Android 13 Launcher (by CaptainDroid)
- Android 14 Launcher (by CaptainDroid)
- CaptainDroid Feeds
- Free Old Classic Movies (by CaptainDroid)
- Phone Comparison (by CaptainDroid)
- Fast Fly VPN
- Fast Fox VPN
- Fast Line VPN
- Funny Char Ging Animation
- Limo Edges
- Oko VPN
- Phone App Launcher
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- Shine Secure
- Speed Surf
- Swift Shield VPN
- Turbo Track VPN
- Turbo Tunnel VPN
- Yellow Flash VPN
- VPN Ultra
- Run VPN
LumiApps的角色
LumiApps是一个Android应用程序货币化平台,声称其SDK将使用设备的IP地址在后台加载网页并将获取的数据发送给公司。尽管他们表示其行为完全符合GDPR/CCPA,但不清楚这些免费应用的开发者是否知道该SDK将用户的设备转变为代理服务器。
HUMAN认为这些恶意应用与俄罗斯住宅代理服务提供商“Asocks”有关,因为他们观察到与该代理提供商网站的连接。
Google的反应
在HUMAN的报告之后,Google于2024年2月从Play Store中移除了所有使用LumiApps SDK的新应用程序和剩余应用程序,并更新了Google Play Protect以检测应用中使用的LumiApp库。
目前,许多上述应用程序再次在Google Play商店中可用,可能是因为其开发者删除了有问题的SDK。
如何保护自己?
如果您使用过上述列出的应用程序,更新到不使用该特定SDK的新版本将停止代理活动。然而,出于谨慎考虑,彻底卸载这些应用可能更安全。如果应用程序已从Google Play中删除且不存在安全版本,建议您卸载它。
最后,使用付费VPN应用程序通常比使用免费服务更安全,因为后者往往更倾向于实施间接货币化系统,包括数据收集/销售、广告和注册代理服务。
重要提醒
Google Play Protect会自动保护用户,禁用这些识别出的应用程序。一旦应用被禁用,它们将无法在设备上运行或造成任何损害。Google的发言人确认,HUMAN报告的28款恶意应用现已从Google Play中移除,因此所有与上述列表中提到的名称相同或相似的应用程序都是完全安全的。
保持警惕,确保您的设备安全。
