Resmi Google Play Store’da Swing VPN – Fast VPN Proxy adı altında bulunan Swing VPN uygulaması, 5 milyondan fazla indirilmiştir.
Swing VPN, Limestone Software Solutions tarafından Android ve iOS sistemleri için geliştirilmiş meşru bir VPN uygulamasıdır. Bununla birlikte, araştırmacı Lecromee’ye göre, bu uygulamanın Android sürümü bir DDoS botnet’idir ve dağıtılmış hizmet reddi saldırıları (DDoS saldırıları) gerçekleştirebildiği için kötü niyetli niyet barındırdığı iddia edilmektedir.
Her şey, Lecromee’nin arkadaşının, Lecromee’ye cep telefonunda alışılmadık bir istek modeli gözlemlediğini söylemesiyle başladı. Telefon sürekli olarak her 10 saniyede bir belirli bir web sitesine istek gönderdi. Uygulamanın, saldırıyı fark edilmeden tutmak için kötü niyetli eylemlerini gizlemek için farklı taktikler kullandığı iddia ediliyor.
Başlangıçta, Lecromee sorunu kötü amaçlı yazılım veya bir virüsten sorumlu tuttu. Ancak daha fazla araştırma, tüm isteklerin arkadaşının telefonuna yüklediği Swing VPN uygulamasından gönderildiğini ortaya çıkardı. İstekler, Lecromee’nin arkadaşının hiç erişmediği veya ziyaret etmediği aynı siteye gönderildi ve bu da araştırmacının uygulamadan şüphelenmesine neden oldu.
Daha fazla araştırma yapmak için Lecromee, terminalinin günlük iletişimini kontrol etmek ve Swing VPN’in işlemlerini incelemek için Pcapdroid uygulamasını yükledi. Bu noktada Lecromee, Swing uygulamasının kötü niyetli bir gündemi olup olmadığından emin değildi. Swing VPN uygulamasının bir siteye bazı istekler gönderdiğini gözlemledi.
Uygulamanın asıl amacını belirlemek için, gönderilen verileri yakalamak için mitmproxy’yi kullandı. Uygulamanın kurulumdan, dil seçiminden ve Gizlilik Politikasını kabul ettikten hemen sonra gerçek IP adresini bulduğunu belirledi. Daha sonra Bing ve Google’a “IP adresim nedir?” Sorgusu ile bir istek gönderir. Lecromee ayrıca, uygulamanın döndürülen HTML’yi ayrıştırdığını ve esas olarak yüklenecek yapılandırma dosyalarını bulmak için yanıtlardan IP’leri belirlediğini öğrendi.
Uygulama, gerekli yapılandırma türünü belirledikten sonra, istekleri geliştiricinin kişisel Google Drive hesabında depolanan iki farklı yapılandırma dosyasına gönderir. Bu dosyalar belirli kişisel sunuculardan, birkaç GitHub deposundan veya Google Drive hesaplarından istenir. Uygulama, reklamları yüklemek için bir reklam ağına bağlanarak başlatma sürecini tamamlar ve son olarak bir DDoS sitesine geçmeden önce verileri yerel bir önbellekte depolar.
Bu, Swing VPN’in isteği gönderdiği sayfadır. Web sitesi Türkmenistan Havayolları (turkmenistanairlines.tm) tarafından yönetilmektedir.
Araştırmacı, istek yükünün belirli veriler içermesine ve isteklerin bitiş noktasının, her 10 saniyede bir istek göndererek site kaynaklarının birçoğunu ayıklamak olmasına şaşırdı.
Lecromee, “Uçuş arama, çok sayıda veri tabanı ve sunucu kaynağı gerektiren oldukça yoğun bir görev olduğundan, amacın, normal kullanıcıların gerektiğinde erişememesi için sunucuyu kaynakların dışına çıkarmak olduğu açıktır.” teknik bir blog yazısında söyledi.
Haziran 2023 itibariyle, uygulamanın Android’de 5 milyonun üzerinde kurulumu vardı ve bunu ona bölmek, 500.000 RPS potansiyeli sağlıyor. DDoSing için bu etkileyici. Lecromee, Google’ı, kötü amaçlı uygulamaların şüphelenmeyen kullanıcıların cihazlarından yararlanmasına izin veren zayıf bir güvenlik sistemine sahip olduğu için eleştirdi.
Ancak Hackread, bu iddiayı şimdilik doğrulayamıyor. Bu hikayeyi yakında Swing uygulamasıyla ilgili en son bilgilerle güncelleyeceğiz.
- DDoS Botnet Özel Minecraft Sunucularını Vurdu
- Kötü Amaçlı Yazılımları PoC Olarak Sunan Sahte GitHub Depoları
- Yeni Matryosh DDoS botnet’i Android cihazları vurur
- WireX Android DDoS Botnet Güvenlik Devleri Tarafından Öldürüldü
- Kötü amaçlı yazılım, Elasticsearch veritabanlarını DDoS botnet’e dönüştürür