據(jù)BleepingComputer網(wǎng)站消息，HUMAN 的 Satori 威脅情報團(tuán)隊發(fā)現(xiàn)Google Play 應(yīng)用商店中有10多款免費VPN應(yīng)用內(nèi)含惡意工具包，能在用戶不知情的情況下將安卓設(shè)備變成住宅代理，進(jìn)而從事各種惡意活動。

住宅代理是通過位于家中的設(shè)備為其他遠(yuǎn)程用戶路由互聯(lián)網(wǎng)流量，使流量看起來合法，雖然這種代理具有市場研究、廣告驗證和搜索引擎優(yōu)化 (SEO) 等合法用途，但也被許多網(wǎng)絡(luò)犯罪分子利用來隱藏惡意活動，包括廣告欺詐、垃圾郵件、網(wǎng)絡(luò)釣魚、撞庫和密碼噴灑。

當(dāng)住宅代理被秘密安裝時，受害者的互聯(lián)網(wǎng)帶寬將在他們不知情的情況下被劫持，并成為惡意活動流量的“幫兇”，事后容易給自身惹來法律糾紛。

Satori團(tuán)隊一共列出了 Google Play 上的 28 個應(yīng)用程序，這些應(yīng)用程序能秘密地將安卓設(shè)備變成代理服務(wù)器。在這 28 個應(yīng)用程序中，有 17 個為免費 VPN 軟件。

Satori 分析師報告稱，違規(guī)應(yīng)用程序均使用 LumiApps 的軟件開發(fā)工具包 (SDK)，其中包含“ Proxylib ”（一個用于執(zhí)行代理的 Golang 庫）。LumiApps 是一個安卓應(yīng)用程序貨幣化平臺，聲稱其 SDK 將使用設(shè)備的 IP 地址在后臺加載網(wǎng)頁并將檢索到的數(shù)據(jù)發(fā)送給公司。

LumiApps 主頁

這一功能被宣傳為完全符合 GDPR/CCPA相關(guān)規(guī)定，旨在公司將這些搜集來的數(shù)據(jù)用來改進(jìn)數(shù)據(jù)庫，以提供更好的產(chǎn)品、服務(wù)和定價。然而，尚不清楚開發(fā)人員是否知道 SDK 正在將其用戶的設(shè)備轉(zhuǎn)換為可用于有害活動的代理服務(wù)器。

Satori 在觀察到代理提供商網(wǎng)站的鏈接后認(rèn)為，這些惡意應(yīng)用程序與俄羅斯住宅代理服務(wù)提供商“Asocks”有關(guān)聯(lián)。 Asocks 通常在黑客論壇上向網(wǎng)絡(luò)犯罪分子提供服務(wù)。

根據(jù)團(tuán)隊的報告，谷歌已于 2024 年 2 月從Google Play應(yīng)用商店中刪除了所有使用 LumiApps SDK 的應(yīng)用程序，并更新了 Google Play Protect 以檢測應(yīng)用程序中使用的 LumiApp 庫。 與此同時，這些VPN應(yīng)用也在被開發(fā)人員刪除惡意的 SDK 后重新上線。BleepingComputer 已聯(lián)系谷歌，問詢這些應(yīng)用現(xiàn)在是否安全，但目前尚未收到回復(fù)。