พบแอป VPN ฟรีกว่า 15 แอปบน Google Play ใช้ชุดพัฒนาซอฟต์แวร์ที่เป็นอันตราย ซึ่งเปลี่ยนอุปกรณ์ Android ให้เป็น Residential proxies โดยไม่รู้ตัว ซึ่งมีแนวโน้มว่าจะนำไปใช้กับอาชญากรรมไซเบอร์และบอทชอปปิ้ง
Residential proxies คืออุปกรณ์ที่กำหนดเส้นทางการรับส่งข้อมูลอินเทอร์เน็ตผ่านอุปกรณ์ที่บ้านสำหรับผู้ใช้ระยะไกล ทำให้การรับส่งข้อมูลดูถูกตามสิทธิและมีโอกาสน้อยที่จะถูกบล็อก แม้ว่าพวกเขาจะมีการใช้งานที่ถูกต้องตามกฎหมายสำหรับการวิจัยตลาด การตรวจสอบโฆษณา และ SEO แต่อาชญากรไซเบอร์จำนวนมากก็ใช้สิ่งเหล่านี้เพื่อปกปิดการกระทำที่เป็นอันตราย ซึ่งรวมถึงการฉ้อโกงโฆษณา การส่งสแปม ฟิชชิ่ง การยัดข้อมูลประจำตัว และ Password Spraying
ผู้ใช้สามารถลงทะเบียนบริการพร็อกซีโดยสมัครใจเพื่อรับรางวัลเป็นเงินหรือรางวัลอื่นๆ เป็นการตอบแทน แต่บริการพร็อกซีบางส่วนเหล่านี้ใช้วิธีการที่ผิดจรรยาบรรณและคลุมเครือในการติดตั้งเครื่องมือพร็อกซีบนอุปกรณ์ของผู้อื่นอย่างลับๆเมื่อติดตั้งอย่างลับๆ เหยื่อจะถูกแย่งชิงแบนด์วิธอินเทอร์เน็ตโดยที่พวกเขาไม่รู้ตัว และเสี่ยงต่อปัญหาทางกฎหมายเนื่องจากปรากฏว่าเป็นแหล่งที่มาของกิจกรรมที่เป็นอันตราย
Proxying Android VPN apps
รายงานที่เผยแพร่ในวันนี้โดยทีมข่าวกรองภัยคุกคาม Satori ของ HUMAN แสดงแอปพลิเคชัน 28 รายการบน Google Play ที่แอบเปลี่ยนอุปกรณ์ Android ให้เป็นพร็อกซีเซิร์ฟเวอร์ จากแอปพลิเคชัน 28 รายการเหล่านี้ มี 17 รายการที่ถูกส่งต่อเป็นซอฟต์แวร์ VPN ฟรี
นักวิเคราะห์ Satori รายงานว่าแอปที่ละเมิดทั้งหมดใช้ชุดพัฒนาซอฟต์แวร์ (SDK) โดย LumiApps ซึ่งมี “Proxylib” ซึ่งเป็นไลบรารี Golang เพื่อดำเนินการพร็อกซี HUMAN ค้นพบแอปผู้ให้บริการ PROXYLIB แรกในเดือนพฤษภาคม 2023 ซึ่งเป็นแอป VPN สำหรับ Android ฟรีชื่อ “Oko VPN” นักวิจัยพบไลบรารีเดียวกันกับที่ใช้โดยบริการสร้างรายได้จากแอป LumiApps Android
การตรวจสอบในภายหลังเผยให้เห็นชุดแอป 28 รายการที่ใช้ไลบรารี ProxyLib เพื่อแปลงอุปกรณ์ Android ให้เป็นพร็อกซี ซึ่งมีรายชื่อดังนี้:
- Lite VPN
- Anims Keyboard
- Blaze Stride
- Byte Blade VPN
- Android 12 Launcher (by CaptainDroid)
- Android 13 Launcher (by CaptainDroid)
- Android 14 Launcher (by CaptainDroid)
- CaptainDroid Feeds
- Free Old Classic Movies (by CaptainDroid)
- Phone Comparison (by CaptainDroid)
- Fast Fly VPN
- Fast Fox VPN
- Fast Line VPN
- Funny Char Ging Animation
- Limo Edges
- Oko VPN
- Phone App Launcher
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- Shine Secure
- Speed Surf
- Swift Shield VPN
- Turbo Track VPN
- Turbo Tunnel VPN
- Yellow Flash VPN
- VPN Ultra
- Run VPN
LumiApps เป็นแพลตฟอร์มสร้างรายได้จากแอป Android ที่ระบุว่า SDK จะใช้ที่อยู่ IP ของอุปกรณ์เพื่อโหลดเว็บเบื้องหลังและส่งข้อมูลที่ดึงมาให้กับบริษัทต่างๆ
LumiApps homepage
Source: BleepingComputer
อย่างไรก็ตาม ยังไม่ชัดเจนว่านักพัฒนาแอปฟรีทราบหรือไม่ว่า SDK กำลังแปลงอุปกรณ์ของผู้ใช้ให้เป็นพร็อกซีเซิร์ฟเวอร์ที่สามารถใช้เพื่อกิจกรรมที่ไม่พึงประสงค์ได้
HUMAN เชื่อว่าแอปที่เป็นอันตรายเชื่อมโยงกับผู้ให้บริการ Residential proxy ของรัสเซีย ‘Asocks’ หลังจากสังเกตการเชื่อมต่อกับเว็บไซต์ของผู้ให้บริการพร็อกซี บริการ Asocks ได้รับการส่งเสริมให้กับอาชญากรไซเบอร์ในฟอรั่มเกี่ยวกับการแฮ็ก
Proxylib operational overview
Source: HUMAN
ในเดือนมกราคม ปี 2024 LumiApps ได้เปิดตัว SDK major version ที่สองพร้อมกับ Proxylib v2 ตามที่บริษัทระบุ สิ่งนี้ได้กล่าวถึง “ปัญหาการบูรณาการ” และตอนนี้รองรับโครงการ Java, Kotlin และ Unity แล้ว ตามรายงานของ HUMAN Google ได้ลบแอปใหม่และแอปที่เหลือทั้งหมดที่ใช้ LumiApps SDK ออกจาก Play Store ในเดือนกุมภาพันธ์ 2024 และอัปเดต Google Play Protect เพื่อตรวจหาไลบรารี LumiApp ที่ใช้ในแอป
Action timeline
Source: HUMAN
ในขณะเดียวกัน แอปจำนวนมากที่ระบุไว้ข้างต้นพร้อมให้ใช้งานอีกครั้งใน Google Play Store สันนิษฐานว่าหลังจากที่นักพัฒนาได้ลบ SDK ที่ละเมิดออกแล้ว บาครั้งมีการเผยแพร่จากบัญชีนักพัฒนาที่แตกต่างกัน
หนึ่งในแอปที่อยู่ในรายการพร้อมให้บริการอีกครั้งบน Google Play
Source: BleepingComputer
BleepingComputer ได้ติดต่อ Google เพื่อขอความคิดเห็นเกี่ยวกับสถานะของแอปที่มีอยู่ในปัจจุบันโดยใช้ชื่อเดียวกัน และดูว่าแอปเหล่านั้นปลอดภัยหรือไม่ แต่เรายังไม่ได้รับการตอบกลับ
หากคุณใช้หนึ่งในแอปที่อยู่ในรายการ การอัปเดตเป็นเวอร์ชันใหม่ล่าสุดที่ไม่ได้ใช้ SDK เฉพาะจะหยุดการทำงานพร็อกซี อย่างไรก็ตาม ควรใช้ความระมัดระวังอย่างมาก การลบออกทั้งหมดอาจปลอดภัยกว่า หากแอปถูกลบออกจาก Google Play และไม่มีเวอร์ชันที่ปลอดภัย ขอแนะนำให้ถอนการติดตั้ง
สุดท้ายนี้ น่าจะปลอดภัยกว่าที่จะใช้แอป VPN แบบชำระเงินแทนบริการฟรี เนื่องจากผลิตภัณฑ์จำนวนมากในประเภทหลังมีความต้องการที่จะใช้ระบบการสร้างรายได้ทางอ้อมมากกว่า รวมถึงการเก็บรวบรวม/การขายข้อมูล การโฆษณา และการลงทะเบียนในบริการพร็อกซี
Source : bleepingcomputer.com
