HUMAN'ın Satori Tehdit İstihbaratı'ndaki araştırmacılar, PROXYLIB adlı bir kampanyanın parçası olarak kullanıcıların cihazlarını, bilgileri olmadan siber suçlular için proxy'lere dönüştüren rahatsız edici sayıda VPN uygulaması keşfetti.
Siber suçlular ve devlet aktörleri, trafiklerini diğer kişilerin proxy olarak bilinen cihazları aracılığıyla göndermeyi sever. Bu, işlerini yapmak için başka birinin kaynaklarını kullanmalarına olanak tanır, saldırılarının kaynağını maskeler, böylece engellenme olasılıkları azalır ve proxy'lerinden biri engellendiğinde çalışmaya devam etmelerini kolaylaştırır.
Bu arzuya hizmet etmek için, siber suçlulara reklam dolandırıcılığı, şifre püskürtme ve kimlik bilgisi doldurma saldırıları gibi faaliyetleri başlatabilecekleri esnek, ölçeklenebilir platformlar sunan, proxy ağlarından oluşan yeraltı pazarının tamamı mevcuttur.
HUMAN'daki araştırmacılar, Google Play'de şüphelenmeyen Android cihazlarını suçlular için proxy'lere dönüştüren 28 uygulama buldu. Uygulamaların 17'si ücretsiz VPN'lerdi. Artık hepsi Google Play'den kaldırıldı.
Operasyona, cihazların ciminal ağa kaydedilmesinden sorumlu tüm uygulamalar tarafından paylaşılan bir kod kütüphanesinden dolayı PROXYLIB adı verildi.
HUMAN ayrıca, PROXYLIB'i yüklemek için kullanılabilecek bir Yazılım Geliştirme Kiti (SDK) olan LumiApps araç setini kullandığı anlaşılan üçüncü taraf depolarda yüzlerce uygulama buldu. Ayrıca PROXYLIB'i, Asocks adı verilen proxy düğümlerine erişim satma konusunda uzmanlaşmış başka bir platforma da bağladılar.
Koruma ve kaldırma
Android kullanıcıları artık Google Play Hizmetlerine sahip Android cihazlarda varsayılan olarak açık olan Google Play Koruma tarafından PROXYLIB saldırısından otomatik olarak korunuyor.
Etkilenen uygulamalar, mobil cihazın kaldırma işlevi kullanılarak kaldırılabilir. Ancak bu gibi uygulamalar gelecekte farklı isimler altında kullanıma sunulabilir; Android için Malwarebytes gibi uygulamalar bu konuda yardımcı olabilir.
PROXYLIB'den uzak durmaya yönelik öneriler şunlardır:
PROXYLIB gibi yeni saldırıların kurbanları, bant genişliklerinin başka amaçlar için kullanılması nedeniyle trafiğin yavaşladığını fark edebilir. Ve bir noktada IP adresleri web siteleri ve diğer hizmetler tarafından engellenebilir.
Araştırmacılar PROXYLIB kapsamında ortaya çıkardıkları uygulamaların bir listesini eklediler. Listedeki uygulamalardan herhangi birini Google Play'den kaldırılmadan önce yüklediyseniz, bunları kaldırmanız gerekecektir.
Yalnızca gizlilik hakkında rapor vermiyoruz; size bunu kullanma seçeneğini de sunuyoruz.
Gizlilik riskleri asla bir başlığın ötesine yayılmamalıdır. Malwarebytes Privacy VPN'i kullanarak çevrimiçi gizliliğinizi kendinize ait tutun.