Plus de 15 applications VPN gratuites sur Google Play ont été découvertes à l’aide d’un kit de développement de logiciels malveillants qui a transformé les appareils Android en proxys résidentiels involontaires, probablement utilisés pour la cybercriminalité et les robots commerciaux.

Les proxys résidentiels sont des appareils qui acheminent le trafic Internet via des appareils situés dans les maisons pour d’autres utilisateurs distants, ce qui rend le trafic légitime et moins susceptible d’être bloqué.

Bien qu’ils aient des utilisations légitimes pour les études de marché, la vérification des publicités et le référencement, de nombreux cybercriminels les utilisent pour dissimuler des activités malveillantes, notamment la fraude publicitaire, le spam, le phishing, le bourrage d’informations d’identification et la pulvérisation de mots de passe.

Les utilisateurs peuvent s’inscrire volontairement sur des services proxy pour obtenir des récompenses monétaires ou autres en retour, mais certains de ces services proxy utilisent des moyens contraires à l’éthique et louches pour installer secrètement leurs outils de proxy sur les appareils des gens.

Lorsqu’elles sont installées secrètement, les victimes verront leur bande passante Internet détournée à leur insu et risqueront des ennuis juridiques en raison de leur apparition comme source d’activités malveillantes.

Proxy des applications VPN Android
Un rapport publié aujourd’hui par l’équipe Satori threat Intelligence de HUMAN répertorie les applications 28 sur Google Play qui ont secrètement transformé les appareils Android en serveurs proxy. Sur ces 28 applications, 17 ont été présentées comme des logiciels VPN gratuits.

Les analystes de Satori rapportent que les applications incriminées utilisaient toutes un kit de développement logiciel (SDK) de LumiApps contenant « Proxylib », une bibliothèque Golang pour effectuer le proxy.

HUMAN a découvert la première application de transporteur PROXYLIB en mai 2023, une application VPN Android gratuite nommée  » Oko VPN. »Les chercheurs ont ensuite trouvé la même bibliothèque utilisée par le service de monétisation d’applications Android LumiApps.

« Fin mai 2023, des chercheurs de Satori ont observé une activité sur des forums de hackers et de nouvelles applications VPN référençant un SDK de monétisation, lumiapps[.] io », explique le rapport Satori.

« Après une enquête plus approfondie, l’équipe a déterminé que ce SDK avait exactement les mêmes fonctionnalités et utilisait la même infrastructure de serveur que les applications malveillantes analysées dans le cadre de l’enquête sur la version antérieure de PROXYLIB. « 

Une enquête ultérieure a révélé un ensemble de 28 applications qui utilisaient la bibliothèque ProxyLib pour convertir les appareils Android en proxies, répertoriées ci-dessous:

  1. Lite VPN
  2. Anims Keyboard
  3. Blaze Stride
  4. Byte Blade VPN
  5. Android 12 Launcher (by CaptainDroid)
  6. Android 13 Launcher (by CaptainDroid)
  7. Android 14 Launcher (by CaptainDroid)
  8. CaptainDroid Feeds
  9. Free Old Classic Movies (by CaptainDroid)
  10. Phone Comparison (by CaptainDroid)
  11. Fast Fly VPN
  12. Fast Fox VPN
  13. Fast Line VPN
  14. Funny Char Ging Animation
  15. Limo Edges
  16. Oko VPN
  17. Phone App Launcher
  18. Quick Flow VPN
  19. Sample VPN
  20. Secure Thunder
  21. Shine Secure
  22. Speed Surf
  23. Swift Shield VPN
  24. Turbo Track VPN
  25. Turbo Tunnel VPN
  26. Yellow Flash VPN
  27. VPN Ultra
  28. Run VPN

LumiApps est une plate-forme de monétisation d’applications Android qui indique que son SDK utilisera l’adresse IP d’un appareil pour charger des pages Web en arrière-plan et envoyer les données récupérées aux entreprises.

« Lumiapps aide les entreprises à collecter des informations accessibles au public sur Internet. Il utilise l’adresse IP de l’utilisateur pour charger plusieurs pages Web en arrière-plan à partir de sites Web bien connus », lit-on sur le site LumiApps.

« Cela se fait de manière à ne jamais interrompre l’utilisateur et à se conformer pleinement au RGPD/CCPA. Les pages Web sont ensuite envoyées aux entreprises, qui les utilisent pour améliorer leurs bases de données, offrant de meilleurs produits, services et prix. »

Page d’accueil LumiApps

Cependant, il n’est pas clair si les développeurs d’applications gratuites savaient que le SDK convertissait les appareils de leurs utilisateurs en serveurs proxy pouvant être utilisés pour des activités indésirables.

HUMAN pense que les applications malveillantes sont liées au fournisseur de services proxy résidentiel russe « Socks » après avoir observé les connexions établies avec le site Web du fournisseur de proxy. Le service Socks est couramment promu auprès des cybercriminels sur les forums de piratage.

Aperçu opérationnel de Proxylib

En janvier 2024, LumiApps a publié la deuxième version majeure de son SDK avec Proxy lib v2. Selon la firme, cela a résolu des » problèmes d’intégration  » et prend désormais en charge les projets Java, Kotlin et Unity.

À la suite du rapport de HUMAN, Google a supprimé toutes les applications nouvelles et restantes utilisant le SDK LumiApps du Play Store en février 2024 et a mis à jour Google Play Protect pour détecter les bibliothèques LumiApp utilisées dans les applications.

Calendrier des actions

Pendant ce temps, de nombreuses applications répertoriées ci-dessus sont à nouveau disponibles sur le Google Play Store, probablement après que leurs développeurs ont supprimé le SDK incriminé. Ils étaient parfois publiés à partir de comptes de développeurs différents, indiquant potentiellement des interdictions de compte antérieures.

L’une des applications répertoriées est à nouveau disponible sur Google Play

Breachtrace a contacté Google pour obtenir un commentaire sur l’état des applications actuellement disponibles utilisant les mêmes noms et si elles sont désormais sûres, mais nous n’avons pas encore de nouvelles.

Si vous avez utilisé l’une des applications répertoriées, la mise à jour vers la version la plus récente qui n’utilise pas le SDK particulier arrêtera l’activité de proxy. Cependant, par excès de prudence, il peut être plus sûr de les supprimer complètement.

Si l’application a été supprimée de Google Play et qu’aucune version sécurisée n’existe, il est recommandé de la désinstaller. Play Protect devrait également avertir les utilisateurs dans ce cas.

Enfin, il est probablement plus sûr d’utiliser des applications VPN payantes au lieu de services gratuits, car de nombreux produits de cette dernière catégorie sont plus désireux de mettre en œuvre des systèmes de monétisation indirecte, y compris la collecte/vente de données, la publicité et l’inscription à des services proxy.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *