Бесплатные VPN-приложения на Android стали инструментом киберпреступников

VPN-сервисы несут множество опасностей для пользователей: они могут получать доступ к данным человека или даже следить за ним. Так, в магазине Google Play Store для Android-устройств было обнаружено 28 бесплатных приложений, которые, "притворяясь" VPN-программами, делали из смартфонов своих жертв прокси-серверы для киберпреступников и торговых ботов.

В их основе лежал вредоносный SDK от компании LumiApps, который перенаправлял трафик других пользователей через устройства, снижая шансы на блокировку и делая его более легитимным. В результате хакеры могли применять эти прокси, например, для фишинговых атак, спама, рекламных накруток и перебора паролей, выяснили специалисты компании Human Security, занимающейся кибербезопасностью.

По их словам, 17 из 28 таких VPN-приложений были бесплатными.

Они уточнили, что применяемый в этих сервисах SDK создан для монетизации. С помощью него компании собирают информацию, которая есть в открытом доступе. При этом некоторые разработчики, вероятно, не знали, что этот SDK открывает доступ к смартфонам их клиентов.

"В конце мая 2023 года наши специалисты заметили активность на хакерских форумах и новые VPN-приложения, ссылающиеся на SDK для монетизации lumiapps[.]io. После дальнейшего расследования команда определила, что этот SDK имеет точно такую же функциональность и использует ту же серверную инфраструктуру, что и вредоносные приложения, изученные нами ранее", - заявили эксперты.

Google уже удалила вредоносные сервисы, обнаруженные кибербезопасниками, и обновила Google Play Protect для того, чтобы система защиты смогла выявлять библиотеки LumiApp в приложениях.

Вместе с тем это не первый подобный инцидент: в конце прошлого года в магазине расширений для браузера Chrome выявили три агрессивных вируса, маскировавшихся под персональные VPN. Они получали доступ к личным данным, включая вкладки, cookies и хранилище. Суммарно пользователи скачали вредоносы 1,5 млн раз, рассказали в сообщает Anti-Malware.

Перед тем, как программа появится в магазине приложений, она должна пройти проверку специалистами. Однако сложность заключается в том, что технически VPN-приложения почти идентичны, а отследить, что происходит с трафиком, который попал через такое приложение на VPN-сервер, практически невозможно, объяснил руководитель отдела сетевых технологий Angara Security Денис Бандалетов.

"Технически любое VPN-соединение - это прокси. Трафик пользователя шифруется и передается на удаленный сервер, который затем этот трафик расшифровывает и перенаправляет на целевой ресурс. Таким образом, администратору VPN-сервера доступны все данные, содержащиеся в трафике. Приложение - всего лишь оболочка для установления тоннеля с VPN-сервером", - подчеркнул собеседник.

Говоря о рисках, которые могут принести пользователю VPN-приложения, эксперт в первую очередь выделил то, что они могут собирать и хранить личную информацию: в частности, банковские данные, логины и пароли. Кроме того, в них может быть вредоносное программное обеспечение, которые не только вызывает утечку данных, но и выводит девайс из строя.

"Еще один риск - провайдеры VPN могут отслеживать и записывать действия пользователей в сети, что нарушает их приватность", - добавил Бандалетов.