Il team di threat intelligence di HUMAN ha identificato numerose applicazioni VPN disponibili sul Play Store che trasformavano i dispositivi utente in un nodo proxy senza che ne fossero a conoscenza. La campagna, identificata come PROXYLIB, ha permesso agli attaccanti di creare una rete di proxy residenziali ed eseguire altri attacchi, come il web scraping, l’esecuzione di transazioni o il furto di identità.
I ricercatori hanno individuato una prima applicazione malevola, Oko VPN, sul Play Store a maggio 2023, e un’analisi approfondita ha fatto emergere altre 28 applicazioni legate all’operazione PROXYLIB; in seguito, il team ha individuato anche LumiApps, una versione più avanzata dell’SDK precedente.
Le applicazioni che contenevano l’SDK di PROXYLIB includevano una libreria malevola in grado di stabilire una connessione bidirezionale a una rete di proxy, trasformando il dispositivo dell’utente in un nodo proxy residenziale senza interazione umana. La maggior parte delle applicazioni individuate dal team erano pubblicate sul Play Store come app gratuite per la VPN.
Pixabay
Poco tempo dopo il team ha scoperto un nuovo SDK, lumiapps.io, che possedeva le stesse funzionalità e usava la stessa infrastruttura server della prima versione di PROXYLIB. Nel caso di LumiApps, oltre a poter integrare un SDK malevolo nelle loro applicazioni, gli attaccanti potevano usare una piattaforma che, caricato un APK, integrava automaticamente l’SDK per la creazione dei nodi proxy.
Il servizio consentiva a chiunque di caricare un APK senza possedere il codice sorgente e modificarlo inserendovi le funzionalità LumiApps, per poi caricarlo sul Play Store.
La monetizzazione tramite Asocks
Secondo l’analisi di HUMAN, l’operazione PROXYLIB sarebbe legata ad Asocks, un rivenditore di proxy residenziali: il gruppo utilizzerebbe la piattaforma per vendere l’accesso alla rete di proxy creata tramite le proprie applicazioni. I ricercatori hanno individuato numerose richieste del malware PROXYLIB dirette verso asocks.com provenienti dai dispositivi infetti.
Per incentivare gli sviluppatori a utilizzare l’SDK malevolo nelle proprie applicazioni e monetizzare le connessioni, gli attaccanti hanno cominciato a promuovere LumiApps e gli SDK collegati come un metodo alternativo di guadagno: stando alle FAQ presenti sul sito, la piattaforma ricompensa gli sviluppatori con pagamenti in denaro in base alla quantità di traffico instradato tramite i nodi proxy creati con le applicazioni.
Pixabay
PROXYLIB continuerà a evolvere
Al momento Google ha eliminato le 28 applicazioni dal Play Store che contenevano l’SDK PROXYLIB, ma è probabile che ne nascano altre. “Gli attaccanti continuano a usare la piattaforma LumiApps e rilasciare nuove versioni dell’SDK che può essere usato in altre applicazioni” spiegano i ricercatori.
Google Play Protect avvisa gli utenti Android di potenziali applicazioni malevole, in alcuni casi bloccandole direttamente, anche quando non sono state scaricate dallo store ufficiale. Sebbene sia un’importante strumento di protezione da tenere sempre attivo, alcune applicazioni potrebbero sfuggire ai controlli di sicurezza.
HUMAN ricorda agli utenti di scaricare applicazioni solo da marketplace ufficiali ed evitare cloni di app popolari che potrebbero contenere malware o funzionalità indesiderate come quella del proxy.
Condividi l’articolo
Articoli correlati
Altro in questa categoria
https://www.securityinfo.it/2024/04/03/proxylib-trasforma-gli-smartphone-in-nodi-proxy-residenziali/?utm_source=rss&utm_medium=rss&utm_campaign=proxylib-trasforma-gli-smartphone-in-nodi-proxy-residenziali