穀歌應用商店出現多款帶有惡意行為的VPN軟件 將用戶手機變成家寬代理 – 藍點網
這個庫來自 Android 應用貨幣化平台 LumiApps,吸引更多開發者將其集成到自己的 App 裏。
安全公司 HUMAN 的 Satori 威脅情報團隊在一份報告中指出,即爬蟲會經過家寬 IP 中轉,然後將數據發給這些公司。它使用用戶的 IP 地址在後台加載多個知名網站的多個網頁,而是針對其他網站或目標。隻需要集成他們的 SDK 即可,吸引黑客使用。其中 17 個冒充是免費的 VPN 軟件,
也就是說當用戶安裝並使用這些 VPN 時,這些都攜帶一個名為 ProxyLib 的庫。在 Google Play 中檢測到 28 款 VPN 類或工具類應用,這些 SDK 會將用戶手機變成家寬代理共享給黑客。
家庭寬帶代理是灰產行業一直都有巨大需求的一種產品,穀歌從 2 月份刪除了集成這個惡意庫的應用程序,這樣可以避免被攔截。Kotlin 和 Unity 項目,部分網站的安全策略會禁止數據中心 IP 地址訪問,
到今年 1 月份 LumiApps 發布了 ProxyLib v2 版解決集成問題並支持 Java、LumiApps 平台與俄羅斯住宅代理服務提供商 (專門提供家寬 IP 的平台) Asocks 有關聯,
在 Google Play 商店裏研究人員發現多款免費或付費的 VPN 軟件存在惡意的 SDK 工具包,
這 28 款有問題的應用列表如下:
- Lite VPN
- Anims Keyboard
- Blaze Stride
- Byte Blade VPN
- Android 12 Launcher (by CaptainDroid)
- Android 13 Launcher (by CaptainDroid)
- Android 14 Launcher (by CaptainDroid)
- CaptainDroid Feeds
- Free Old Classic Movies (by CaptainDroid)
- Phone Comparison (by CaptainDroid)
- Fast Fly VPN
- Fast Fox VPN
- Fast Line VPN
- Funny Char Ging Animation
- Limo Edges
- Oko VPN
- Phone App Launcher
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- Shine Secure
- Speed Surf
- Swift Shield VPN
- Turbo Track VPN
- Turbo Tunnel VPN
- Yellow Flash VPN
- VPN Ultra
- Run VPN
接到 HUMAN 的報告後,該平台為開發者提供廣告收入,不知道是不是刪除了這個庫後重新提交到 Google Play 並且審核通過了。表麵上 LumiApps 稱幫助一些企業收集互聯網上的公開信息,實際上黑客可以通過用戶的手機來執行某些惡意操作,隻不過惡意操作不是針對用戶的,
而此前被下架的一些 VPN 軟件也重新上架了,
然而經過溯源,因此一些惡意爬蟲或不良行為的爬蟲會通過購買家庭寬帶來代理自己的爬蟲,同時還改進了檢測流程自動檢測應用程序是否使用了 ProxyLib 庫。Asocks 則是在黑客論壇上宣傳自己的服務,