Google Play'de 15'ten fazla ücretsiz VPN uygulamasının, Android cihazlarını farkında olmadan konut proxy'lerine dönüştüren ve muhtemelen siber suçlar ve alışveriş botları için kullanılan kötü amaçlı bir yazılım geliştirme kiti kullanılarak bulunduğu tespit edildi.
Konut proxy'leri, internet trafiğini diğer uzaktaki kullanıcılar için evlerde bulunan cihazlar üzerinden yönlendirerek trafiğin meşru görünmesini ve engellenme olasılığının azalmasını sağlayan cihazlardır.
Pazar araştırması, reklam doğrulama ve SEO için meşru kullanımları olsa da birçok siber suçlu, bunları reklam sahtekarlığı, spam gönderme, kimlik avı, kimlik bilgileri doldurma ve parola püskürtme gibi kötü amaçlı etkinlikleri gizlemek için kullanıyor.
Kullanıcılar, karşılığında para veya başka ödüller almak için gönüllü olarak proxy hizmetlerine kaydolabilirler, ancak bu proxy hizmetlerinden bazıları, proxy araçlarını insanların cihazlarına gizlice yüklemek için etik olmayan ve şüpheli yöntemler kullanır.
Gizlice kurulduğunda, kurbanların internet bant genişliği bilgileri olmadan ele geçirilecek ve kötü niyetli faaliyetlerin kaynağı olarak görünmeleri nedeniyle yasal sorunlarla karşılaşacaklardır.
Android VPN uygulamalarını proxy olarak kullanma
HUMAN'ın Satori tehdit istihbarat ekibi tarafından bugün yayınlanan bir rapor, Google Play'de Android cihazlarını gizlice proxy sunuculara dönüştüren 28 uygulamayı listeliyor. Bu 28 uygulamadan 17'si ücretsiz VPN yazılımı olarak sunuldu.
Satori analistleri, rahatsız edici uygulamaların hepsinin, proxy işlemini gerçekleştirmek için bir Golang kütüphanesi olan “Proxylib”i içeren LumiApps tarafından üretilen bir yazılım geliştirme kiti (SDK) kullandığını bildirdi.
HUMAN, Mayıs 2023'te “Oko VPN” adlı ücretsiz bir Android VPN uygulaması olan ilk PROXYLIB taşıyıcı uygulamasını keşfetti. Araştırmacılar daha sonra LumiApps Android uygulamasından para kazanma hizmeti tarafından kullanılan kitaplığın aynısını buldu.
“Mayıs 2023'ün sonlarında Satori araştırmacıları, hacker forumlarında ve para kazanma SDK'sına atıfta bulunan yeni VPN uygulamalarında etkinlik gözlemledi. Lumiapps[.]io” diye açıklıyor Satori raporu.
“Ekip, daha ayrıntılı bir incelemenin ardından, bu SDK'nın, PROXYLIB'in önceki sürümüne yönelik incelemenin bir parçası olarak analiz edilen kötü amaçlı uygulamalarla tamamen aynı işlevselliğe sahip olduğunu ve aynı sunucu altyapısını kullandığını belirledi. “
Daha sonra yapılan bir araştırma, Android cihazlarını proxy'lere dönüştürmek için ProxyLib kitaplığını kullanan 28 uygulamadan oluşan bir grubu ortaya çıkardı; bunlar aşağıda listelenmiştir:
- Hafif VPN
- Animasyon Klavyesi
- Alevli Adım
- Bayt Blade VPN'i
- Android 12 Başlatıcı (CaptainDroid tarafından)
- Android 13 Başlatıcı (CaptainDroid tarafından)
- Android 14 Başlatıcı (CaptainDroid tarafından)
- KaptanDroid Haber Akışları
- Ücretsiz Eski Klasik Filmler (CaptainDroid tarafından)
- Telefon Karşılaştırması (CaptainDroid tarafından)
- Hızlı Uçuş VPN'i
- Hızlı Fox VPN'i
- Hızlı Hat VPN'i
- Komik Char Ging Animasyonu
- Limuzin Kenarları
- Göz VPN'i
- Telefon Uygulama Başlatıcısı
- Hızlı Akış VPN'i
- Örnek VPN
- Güvenli Gök Gürültüsü
- Parlatıcı Güvenli
- Hızlı Sörf
- Hızlı Kalkan VPN'i
- Turbo Parça VPN'i
- Turbo Tünel VPN'i
- Sarı Flaş VPN
- VPN Ultra
- VPN'i çalıştır
LumiApps, SDK'sının arka planda web sayfalarını yüklemek ve alınan verileri şirketlere göndermek için bir cihazın IP adresini kullanacağını belirten bir Android uygulamasından para kazanma platformudur.
LumiApps web sitesinde “Lumiapps, şirketlerin internette kamuya açık bilgileri toplamasına yardımcı oluyor. Tanınmış web sitelerinden arka planda çeşitli web sayfalarını yüklemek için kullanıcının IP adresini kullanıyor.”
“Bu, kullanıcıyı hiçbir zaman rahatsız etmeyecek ve GDPR/CCPA ile tamamen uyumlu olacak şekilde yapılıyor. Web sayfaları daha sonra bunları veritabanlarını geliştirmek, daha iyi ürünler, hizmetler ve fiyatlandırma sunmak için kullanan şirketlere gönderiliyor.”
Kaynak: BleepingComputer
Ancak ücretsiz uygulama geliştiricilerinin, SDK'nın kullanıcı cihazlarını istenmeyen etkinlikler için kullanılabilecek proxy sunuculara dönüştürdüğünü bilip bilmediği belli değil.
HUMAN, proxy sağlayıcının web sitesine yapılan bağlantıları gözlemledikten sonra kötü amaçlı uygulamaların Rus konut proxy hizmet sağlayıcısı 'Asocks' ile bağlantılı olduğuna inanıyor. Asocks hizmeti genellikle bilgisayar korsanlığı forumlarında siber suçlulara tanıtılıyor.
Kaynak: İNSAN
Ocak 2024'te LumiApps, Proxylib v2 ile birlikte SDK'sının ikinci ana sürümünü yayınladı. Firmaya göre bu, “entegrasyon sorunlarını” ele aldı ve artık Java, Kotlin ve Unity projelerini destekliyor.
HUMAN'ın raporunun ardından Google, Şubat 2024'te LumiApps SDK'yı kullanan tüm yeni ve kalan uygulamaları Play Store'dan kaldırdı ve uygulamalarda kullanılan LumiApp kitaplıklarını tespit etmek için Google Play Korumayı güncelledi.
Kaynak: İNSAN
Bu arada, yukarıda listelenen birçok uygulama, muhtemelen geliştiricilerinin rahatsız edici SDK'yı kaldırmasının ardından artık Google Play mağazasında yeniden mevcut. Bunlar bazen farklı geliştirici hesaplarından yayınlanıyordu; bu da muhtemelen daha önce hesapların yasaklandığını gösteriyordu.
Kaynak: BleepingComputer
BleepingComputer, aynı adları kullanan mevcut uygulamaların durumu ve bunların artık güvenli olup olmadığı hakkında yorum almak için Google'a ulaştı ancak henüz bir yanıt alamadık.
Listelenen uygulamalardan birini kullandıysanız, belirli bir SDK'yı kullanmayan en yeni sürüme güncelleme yapmak proxy etkinliğini durduracaktır. Ancak çok dikkatli olunması nedeniyle bunları tamamen kaldırmak daha güvenli olabilir.
Uygulama Google Play'den kaldırıldıysa ve güvenli bir sürümü yoksa uygulamayı kaldırmanız önerilir. Play Protect'in bu durumda kullanıcıları da uyarması gerekir.
Son olarak, ikinci kategorideki birçok ürün, veri toplama/satış, reklam ve proxy hizmetlerine kayıt dahil olmak üzere dolaylı para kazanma sistemlerini uygulamaya daha istekli olduğundan, ücretsiz hizmetler yerine ücretli VPN uygulamalarını kullanmak muhtemelen daha güvenlidir.