В их основе лежал вредоносный SDK от компании LumiApps, который перенаправлял трафик других пользователей через устройства, снижая шансы на блокировку и делая его более легитимным. В результате хакеры могли применять эти прокси, например, для фишинговых атак, спама, рекламных накруток и перебора паролей, выяснили специалисты компании Human Security, занимающейся кибербезопасностью.
По их словам, 17 из 28 таких VPN-приложений были бесплатными.
Они уточнили, что применяемый в этих сервисах SDK создан для монетизации. С помощью него компании собирают информацию, которая есть в открытом доступе. При этом некоторые разработчики, вероятно, не знали, что этот SDK открывает доступ к смартфонам их клиентов.
"В конце мая 2023 года наши специалисты заметили активность на хакерских форумах и новые VPN-приложения, ссылающиеся на SDK для монетизации lumiapps[.]io. После дальнейшего расследования команда определила, что этот SDK имеет точно такую же функциональность и использует ту же серверную инфраструктуру, что и вредоносные приложения, изученные нами ранее", - заявили эксперты.
Google уже удалила вредоносные сервисы, обнаруженные кибербезопасниками, и обновила Google Play Protect для того, чтобы система защиты смогла выявлять библиотеки LumiApp в приложениях.
Вместе с тем это не первый подобный инцидент: в конце прошлого года в магазине расширений для браузера Chrome выявили три агрессивных вируса, маскировавшихся под персональные VPN. Они получали доступ к личным данным, включая вкладки, cookies и хранилище. Суммарно пользователи скачали вредоносы 1,5 млн раз, рассказали в сообщает Anti-Malware.
Перед тем, как программа появится в магазине приложений, она должна пройти проверку специалистами. Однако сложность заключается в том, что технически VPN-приложения почти идентичны, а отследить, что происходит с трафиком, который попал через такое приложение на VPN-сервер, практически невозможно, объяснил руководитель отдела сетевых технологий Angara Security Денис Бандалетов.
"Технически любое VPN-соединение - это прокси. Трафик пользователя шифруется и передается на удаленный сервер, который затем этот трафик расшифровывает и перенаправляет на целевой ресурс. Таким образом, администратору VPN-сервера доступны все данные, содержащиеся в трафике. Приложение - всего лишь оболочка для установления тоннеля с VPN-сервером", - подчеркнул собеседник.
Говоря о рисках, которые могут принести пользователю VPN-приложения, эксперт в первую очередь выделил то, что они могут собирать и хранить личную информацию: в частности, банковские данные, логины и пароли. Кроме того, в них может быть вредоносное программное обеспечение, которые не только вызывает утечку данных, но и выводит девайс из строя.
"Еще один риск - провайдеры VPN могут отслеживать и записывать действия пользователей в сети, что нарушает их приватность", - добавил Бандалетов.