Nekoliko zlonamjernih Android aplikacija koje pretvaraju mobilne uređaje sa operativnim sistemom u rezidencijalne proxy servere (RESIP) za druge hakere primijećeno je na Google Play prodavnici.
Nalazi dolaze od HUMAN-ovog Satori Threat Intelligence tima, koji je rekao da je klaster VPN aplikacija opremljen Golang bibliotekom koja je transformisala korisnikov uređaj u proxy čvor bez njihovog znanja.
Operacija je dobila kodni naziv PROXYLIB od strane kompanije. Google je od tada uklonio 29 aplikacija o kojima je riječ.
Rezidencijalni proksi serveri su mreža proxy servera koji se dobijaju sa stvarnih IP adresa koje obezbeđuju provajderi internet usluga (ISP), pomažući korisnicima da sakriju svoje stvarne IP adrese usmeravanjem svog internet saobraćaja preko posredničkog servera.
Benefiti anonimnosti na stranu, oni su zreli za zloupotrebu od strane hakera ne samo da prikriju svoje porijeklo, već i da izvedu širok spektar napada.
“Kada haker koristi rezidencijalni proxy, čini se da promet od ovih napada dolazi s različitih IP adresa stanovanja umjesto IP-a data centra ili drugih dijelova infrastrukture hakera”, rekli su istraživači sigurnosti. “Mnogi hakeri kupuju pristup ovim mrežama kako bi olakšali svoje operacije.”
Neke od ovih mreža mogu biti kreirane tako što operateri malvera prevare nesuđene korisnike da instaliraju lažne aplikacije koje u suštini povezuju uređaje u botnet koji se zatim unovčava za profit prodajom pristupa drugim korisnicima.
Android VPN aplikacije koje je otkrio HUMAN dizajnirane su za uspostavljanje kontakta s udaljenim serverom, prijavljivanje zaraženog uređaja u mrežu i obradu bilo kojeg zahtjeva s proxy mreže.
Još jedan značajan aspekt ovih aplikacija je da njihov podskup identifikovan između maja i oktobra 2023. uključuje komplet za razvoj softvera (SDK) kompanije LumiApps, koji sadrži proxyware funkcionalnost. U oba slučaja, zlonamjerna mogućnost se izvodi korištenjem izvorne Golang biblioteke.
LumiApps također nudi uslugu koja u suštini dozvoljava korisnicima da učitaju bilo koju APK datoteku po svom izboru, uključujući legitimne aplikacije, i da u njega ulože SDK bez potrebe za kreiranjem korisničkog naloga, koji se zatim može ponovo preuzeti i podijeliti s drugima.
Ove modifikovane aplikacije – nazvane modovi – zatim se distribuišu u Google Play prodavnici i van nje. LumiApps promoviše sebe i SDK kao alternativni način monetizacije aplikacije za prikazivanje oglasa.
Postoje dokazi koji ukazuju na to da haker iza PROXYLIB-a prodaje pristup proxy mreži koju su kreirali zaraženi uređaji preko LumiApps i Asocks, kompanije koja se reklamira kao prodavac rezidencijalnih proksija.
Štaviše, u nastojanju da SDK pretvori u što više aplikacija i proširi veličinu botneta, LumiApps nudi novčane nagrade programerima na osnovu količine saobraćaja koji se usmjerava kroz korisničke uređaje koji su instalirali njihove aplikacije. SDK usluga se također reklamira na društvenim mrežama i forumima crnih šešira.
Nedavno istraživanje koje su objavili Orange Cyberdefense i Sekoia okarakterisalo je stambene proksije kao dio “fragmentiranog, ali međusobno povezanog ekosistema”, u kojem se usluge proxywarea oglašavaju na različite načine, od dobrovoljnih priloga do namjenskih trgovina i kanala za preprodaju.
“[U slučaju SDK-ova], proxyware je često ugrađen u proizvod ili uslugu”, napominju kompanije. Korisnici možda neće primijetiti da će proxyware biti instaliran kada prihvate uslove korištenja glavne aplikacije u koju je ugrađen. Ovaj nedostatak transparentnosti dovodi do toga da korisnici dijele svoju internetsku vezu bez jasnog razumijevanja.”
Razvoj događaja dolazi kada je Lumen Black Lotus Labs otkrio da su ruteri za male kuće/male kancelarije (SOHO) na kraju životnog veka (EoL) i IoT uređaji ugroženi botnetom poznatim kao TheMoon za napajanje kriminalne proxy usluge pod nazivom Faceless.
Izvor: The Hacker News
