Rezidencijalni proksiji usmeravaju internet saobraćaj preko uređaja koji se nalaze u domovima za druge udaljene korisnike, čineći saobraćaj legitimnim i manje verovatnim da će biti blokiran. Iako imaju i legitimnu upotrebu za istraživanje tržišta, verifikaciju oglasa i SEO, mnogi sajber kriminalci ih koriste da prikriju svoje aktivnosti. Kada se tajno instaliraju, žrtve rizikuju pravne probleme jer se njihovi uređaji vide kao izvori zlonamernih aktivnosti.

U izveštaju koji je objavio HUMAN-ov tim za obaveštavanje o pretnjama Satori navedeno je 28 aplikacija sa Google Play koje su krišom pretvarale Android uređaje u proksi servere. Od ovih 28 aplikacija, 17 je predstavljeno kao besplatni VPN softver. Sve aplikacije su koristile SDK kompanije LumiApps koji je sadržao biblioteku „Proxylib“.

Istraživači su u maju prošle godine otkrili prvu aplikaciju sa Proxylib. Bila je to besplatna Android VPN aplikacija pod nazivom „Oko VPN“. Istraživači su kasnije otkrili da istu biblioteku koristi usluga monetizacije LumiApps Android aplikacija.

LumiApps je platforma za monetizaciju Android aplikacija koja navodi da će njen SDK koristiti IP adresu uređaja za učitavanje veb stranica u pozadini i slanje preuzetih podataka kompanijama.

„LumiApps pomaže kompanijama da prikupe informacije koje su javno dostupne na internetu. Koristi IP adresu korisnika za učitavanje nekoliko veb stranica u pozadini sa poznatih veb sajtova“, navodi se na veb sajtu LumiApps. „Ovo se radi na način koji nikada ne prekida korisnika i u potpunosti je u skladu sa GDPR/CCPA. Veb stranice se zatim šalju kompanijama, koje ih koriste da poboljšaju svoje baze podataka, nudeći bolje proizvode, usluge i cene.“

Nejasno je da li su programeri besplatnih aplikacija znali da SDK pretvara uređaje korisnika u proksi servere koji se mogu koristiti za neželjene aktivnosti.

Istraživači veruju da su zlonamerne aplikacije povezane sa ruskim proxi provajderom „Asocks“ koji se reklamira na hakerskim forumima.

Aplikacije koje je po prijavi istraživača Google uklonio iz Play prodavnice su Lite VPN, Anims Keyboard, Blaze Stride, Byte Blade VPN, Android 12 Launcher, Android 13 Launcher, Android 14 Launcher, CaptainDroid Feeds, Free Old Classic Movies, Phone Comparison, Fast Fly VPN, Fast Fox VPN, Fast Line VPN, Funny Char Ging Animation, Limo Edges, About VPN, Phone App Launcher, Quick Flow VPN, Sample VPN, Secure Thunder, Shine Secure, Speed Surf, Swift Shield VPN, Turbo Track VPN, Turbo Tunnel VPN, Yellow Flash VPN, VPN Ultra i Run VPN.

Mnoge navedene aplikacije sada su ponovo dostupne u Google Play prodavnici, verovatno nakon što su njihovi programeri uklonili SDK koji krši smernice Google Play. U nekim slučajevima aplikacije su objavljivane sa različitih naloga programera, što bi moglo da ukazuje na ranije zabrane naloga.

Ako ste koristili neku od navedenih aplikacija, ažuriranje na najnoviju verziju zaustaviće aktivnost proksija. Ali, možda bi bilo sigurnije da ih potpuno uklonite. Ako je aplikacija uklonjena sa Google Play i ne postoji bezbedna verzija, preporuka je da je deinstalirate. Play Protect bi u tom slučaju trebalo da upozori korisnike.

Izvor: Informacija/Kurir/Darko Mulic

Kurir