家庭宽带代理是灰产行业一直都有巨大需求的一种产品,部分网站的安全策略会禁止数据中心 IP 地址访问,因此一些恶意爬虫或不良行为的爬虫会通过购买家庭宽带来代理自己的爬虫,即爬虫会经过家宽 IP 中转,这样可以避免被拦截。
在 Google Play 商店里研究人员发现多款免费或付费的 VPN 软件存在恶意的 SDK 工具包,这些 SDK 会将用户手机变成家宽代理共享给黑客。
也就是说当用户安装并使用这些 VPN 时,实际上黑客可以通过用户的手机来执行某些恶意操作,只不过恶意操作不是针对用户的,而是针对其他网站或目标。
安全公司 HUMAN 的 Satori 威胁情报团队在一份报告中指出,在 Google Play 中检测到 28 款 VPN 类或工具类应用,其中 17 个冒充是免费的 VPN 软件,这些都携带一个名为 ProxyLib 的库。
这个库来自 Android 应用货币化平台 LumiApps,该平台为开发者提供广告收入,只需要集成他们的 SDK 即可,表面上 LumiApps 称帮助一些企业收集互联网上的公开信息,它使用用户的 IP 地址在后台加载多个知名网站的多个网页,然后将数据发给这些公司。
然而经过溯源,LumiApps 平台与俄罗斯住宅代理服务提供商 (专门提供家宽 IP 的平台) Asocks 有关联,Asocks 则是在黑客论坛上宣传自己的服务,吸引黑客使用。
到今年 1 月份 LumiApps 发布了 ProxyLib v2 版解决集成问题并支持 Java、Kotlin 和 Unity 项目,吸引更多开发者将其集成到自己的 App 里。
接到 HUMAN 的报告后,谷歌从 2 月份删除了集成这个恶意库的应用程序,同时还改进了检测流程自动检测应用程序是否使用了 ProxyLib 库。
而此前被下架的一些 VPN 软件也重新上架了,不知道是不是删除了这个库后重新提交到 Google Play 并且审核通过了。
这 28 款有问题的应用列表如下:
- Lite VPN
- Anims Keyboard
- Blaze Stride
- Byte Blade VPN
- Android 12 Launcher (by CaptainDroid)
- Android 13 Launcher (by CaptainDroid)
- Android 14 Launcher (by CaptainDroid)
- CaptainDroid Feeds
- Free Old Classic Movies (by CaptainDroid)
- Phone Comparison (by CaptainDroid)
- Fast Fly VPN
- Fast Fox VPN
- Fast Line VPN
- Funny Char Ging Animation
- Limo Edges
- Oko VPN
- Phone App Launcher
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- Shine Secure
- Speed Surf
- Swift Shield VPN
- Turbo Track VPN
- Turbo Tunnel VPN
- Yellow Flash VPN
- VPN Ultra
- Run VPN
文章来源于互联网-Google Play出现多款带有恶意行为的VPN软件,将用户手机变成家宽代理