Expertos en ciberseguridad han descubierto un grupo de aplicaciones de VPN gratuitas en Google Play que convierten los dispositivos Android en servidores proxies sin el conocimiento de los usuarios.
Este hallazgo fue publicado por el equipo de inteligencia de amenazas Satori de HUMAN, revelando que estas aplicaciones contenían un SDK malicioso capaz de comprometer la seguridad y privacidad de los usuarios.
Investigadores de la unidad Satori Thread Intelligence de HUMAN han identificado 28 aplicaciones peligrosas en la Google Play Store, de las cuales 17, que se presentaban como software de VPN (Red Privada Virtual) gratuito, contenían un Kit de Desarrollo de Software (SDK) malicioso que transformaba los dispositivos de los usuarios en proxies sin su consentimiento. Este SDK, desarrollado por LumiApps, incluía PROXYLIB, una biblioteca en Golang que facilitaba la inscripción de nodos proxy en cada aplicación afectada.
La primera detección de una aplicación utilizando PROXYLIB ocurrió en mayo de 2023 con una VPN gratuita para Android llamada «Oko VPN». Posteriormente, se descubrió que el servicio de monetización de aplicaciones Android de LumiApps utilizaba la misma biblioteca. Se cree que estas aplicaciones maliciosas están vinculadas a Asocks, un vendedor ruso de proxies residenciales que fue promocionado en foros de hacking.
LumiApps opera una plataforma de monetización de aplicaciones Android que utiliza la dirección IP del dispositivo para cargar páginas web en segundo plano, enviando cualquier dato recopilado a las empresas. Esta práctica, aunque declarada conforme con el RGPD/CCPA por LumiApps, plantea serias preocupaciones sobre la privacidad y seguridad de los usuarios.
Las aplicaciones identificadas abarcan desde lanzadores de Android hasta aplicaciones de VPN y animaciones de carga, evidenciando la diversidad de software afectado. Google, tras la investigación del equipo Satori, ha eliminado todas las aplicaciones implicadas y aquellas que usaban el SDK de LumiApps de la Play Store. Además, Google Play Protect se ha actualizado para detectar la biblioteca LumiApp utilizada en las aplicaciones. La reciente identificación de aplicaciones de VPN gratuitas en Google Play que convierten sin autorización los dispositivos Android en servidores proxies subraya la importancia de usar herramientas como Koodous, plataforma colaborativa de análisis automático con inteligencia colectiva para detectar y neutralizar amenazas en aplicaciones Android.
Mantenerse informado y emplear herramientas de detección avanzadas como Koodous es esencial para lograr una protección adicional contra aplicaciones maliciosas y otras ciberamenazas, especialmente en mercados de aplicaciones móviles que cambian rápidamente.
Detecciones:
- https://koodous.com/apks/bfc6abd95ba8d51f39435829dd866e94057d1ce51a3443b53410900f5115a91e/general-information
- https://koodous.com/apks/d45dc6af82ddf01b569bc2ea177486754d91418d41087e5a32f181c6ac92a424/general-information
- https://koodous.com/apks/f5133797791e31ea1ad07f8d332d49808ced951dfa7fbeb04f18a6ee0df3b25e/general-information
Más información:
- https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-proxylib-and-lumiapps-transform-mobile-devices-into-proxy-nodes
- https://github.com/grinay/ProxyLib
- https://www.techworm.net/2024/03/free-vpn-apps-on-playstore-turned-phones-into-proxies.html
- https://www.bleepingcomputer.com/news/security/free-vpn-apps-on-google-play-turned-android-phones-into-proxies/
- https://malwaretips.com/threads/free-vpn-apps-on-google-play-turned-android-phones-into-proxies.129967/
Deja una respuesta