Le gouvernement allemand reporte pour l’instant l’échange…

Les pays du G20 s’accordent sur la nécessité de taxer les…

Un « incendie criminel coordonné » arrête les trains français quelques…

#image_title
Logiciels

Applications transformant secrètement les appareils en nœuds de réseau proxy supprimées de Google Play – Help Net Security

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

Votre smartphone fait peut-être partie d’un réseau proxy et vous ne le savez peut-être même pas : il vous suffit de télécharger des applications dont les développeurs ont inclus la fonctionnalité et ne l’ont pas mentionnée.

Si cela ne vous semble pas si grave, sachez que faire partie d’un réseau proxy résidentiel signifie que votre appareil pourrait être le « dernier kilomètre » du trafic des acteurs malveillants avant qu’ils n’accèdent à l’environnement des victimes.

Les applications reliant les smartphones aux réseaux proxy sont partout

Le téléchargement d’applications mobiles est quelque chose que la plupart d’entre nous font régulièrement, mais seuls les utilisateurs avertis en sécurité savent que cette simple action comporte de nombreux risques.

Comme le montrent les recherches récemment publiées par Sécurité humaineL’équipe Satori Threat Intelligence de a révélé que les chercheurs de Google supprimant une seule application VPN gratuite de son Play Store parce qu’elle faisait partie d’un réseau proxy utilisé pour la fraude publicitaire ont révélé un problème plus répandu : la bibliothèque responsable de l’inscription du nœud proxy a a ensuite été trouvé dans de nombreuses autres applications, ainsi que dans un kit de développement logiciel (SDK) mobile.

« La bibliothèque PROXYLIB d’origine et celle intégrée au SDK LumiApps sont très similaires, y compris les noms de fichiers et la structure du code, ce qui suggère que le SDK LumiApps et la bibliothèque d’origine sont probablement construits par le même acteur malveillant. Sur la base de certaines modifications incrémentielles apportées au code entre PROXYLIB et le code de LumiApps, ainsi que les versions ultérieures de LumiApps lui-même, nous pensons que LumiApps est une version « plus récente » de la bibliothèque d’origine », a déclaré l’équipe à Help Net Security.

«Le SDK LumiApps est disponible gratuitement pour que quiconque puisse l’intégrer à ses applications, et ils le présentent comme un moyen de gagner de l’argent avec votre application sans recourir à la publicité. Si un développeur souhaitait monétiser son application, il pourrait certainement envisager d’utiliser LumiApps et ignorer ce que faisait le code en arrière-plan, en enregistrant l’appareil de l’utilisateur en tant que nœud dans un réseau proxy résidentiel à l’insu de l’utilisateur. Étant donné que le SDK est disponible gratuitement sur le site Web LumiApps et annoncé à la fois sur le dark web et sur les sites de médias sociaux, n’importe qui peut l’intégrer à ses applications s’il crée un compte.

Bien que la politique de confidentialité de LumiApps mentionne que les appareils font partie des réseaux LumiApps, les développeurs d’applications peuvent ne pas la lire avant de commencer à utiliser le SDF. Ou alors ils le savent et s’en moquent. Mais il est peu probable que les utilisateurs finaux – les utilisateurs de l’application – sachent que tout cela se passe en arrière-plan.

Les chercheurs affirment également que l’auteur de la menace utilise Asocks – un vendeur proxy résidentiel – comme moyen de monétiser le réseau PROXYLIB.

« Le site Web Asocks ne fournit aucune information sur la manière dont leurs procurations résidentielles sont obtenues. L’une des phrases des conditions d’utilisation fait référence à une phrase qui peut être interprétée comme la définition du service proxy », ont-ils noté.

« Lorsqu’un utilisateur crée un compte sur Lumiapps[.]io, les en-têtes de l’e-mail de confirmation contiennent le domaine bproxy[.]un, qui n’a plus de page Web accessible. Cependant, lors de la recherche de ce domaine dans les archives[.]org, il existait une version non stylisée du site Web Asocks le 23 février 2023. En conséquence, les chercheurs de Satori sont convaincus que les deux services sont connectés et potentiellement détenus ou exploités par le même acteur malveillant.

Le marché proxy résidentiel

Induire en erreur les utilisateurs qui installent des logiciels tiers n’est qu’un des moyens par lesquels les réseaux proxy résidentiels – qui se composent généralement d’ordinateurs, de smartphones et d’appareils IoT – se développent.

Certains utilisateurs installent volontairement un proxyware pour inscrire leurs appareils sur ces réseaux et échanger leur bande passante contre paiement. Et puis il y a des attaquants qui installent secrètement des proxywares sur les appareils des utilisateurs compromis.

Certes, les réseaux proxy résidentiels peuvent être utilisés à des fins non illicites : les annonceurs, par exemple, peuvent les utiliser pour vérifier quelles publicités sont diffusées en fonction de la géolocalisation IP, et ils peuvent également être utilisés pour enregistrer plusieurs comptes sur le même service en ligne.

Mais dans un rapport récemment publié par Sekoia.io et Orange Cyberdefenseles chercheurs ont souligné que les proxys résidentiels représentent une menace croissante dans le cyberespace, fréquemment utilisés par des groupes d’attaquants pour se cacher parmi le trafic légitime, pour organiser des attaques par pulvérisation de mots de passe et par force brute, des campagnes de phishing, des attaques DDoS, etc.

Ils ont également analysé le marché plutôt opaque des vendeurs de proxys résidentiels et ont découvert que de nombreux fournisseurs « soit ne sont pas enregistrés en tant qu’entité juridique officielle dans leur pays respectif, soit ne possèdent que des bureaux de « boîte aux lettres » dans un pays sans législation stricte en la matière ( ex. les îles Vierges britanniques).

Certains fournisseurs n’ont même pas de site Web et préfèrent vendre leurs services directement via Telegram.

En outre, de nombreux fournisseurs n’identifient pas et ne vérifient pas l’identité des clients lors de l’ouverture d’un compte, afin de s’assurer que les proxys sont utilisés à des fins légales. Au lieu de cela, ils se « couvrent » en déclarant dans les conditions de service que « les clients sont responsables de l’activité effectuée avec les proxys loués et qu’ils doivent respecter toutes les lois applicables ».

Certains prétendent « s’approvisionner de manière éthique » auprès des proxys ajoutés à leur réseau, mais n’offrent aucune preuve vérifiable pour étayer cette affirmation.

Enfin, les chercheurs ont constaté que la fragmentation du marché est illusoire : « Certains [residential proxy providers] peuvent en fait être étroitement interconnectés, soit en appartenant à la même entité juridique, en partageant une partie cohérente de leur infrastructure de serveurs ou en utilisant des canaux communs de crypto-monnaie.

Que peuvent faire les consommateurs et les défenseurs des entreprises ?

Les utilisateurs de smartphones doivent être prudents lorsqu’ils téléchargent des applications à partir de boutiques en ligne, qu’elles soient propriétaires (par exemple, Google Play) ou tierces.

Après la découverte par Satori de 28 applications (pour la plupart « VPN gratuites ») sur Google Play contenant la bibliothèque PROXYLIB, Google les a supprimées. (À propos, Google a également récemment commencé à marquer les applications VPN validées de manière indépendante sur Google Play.)

Google Play Protect, qui est activé par défaut sur les appareils Android dotés des services Google Play, protège automatiquement les utilisateurs en désactivant ces applications, fournit un avertissement et demande aux utilisateurs s’ils souhaitent les désinstaller.

« La majorité des applications que nous avons identifiées contenant le SDK LumiApps n’étaient pas disponibles sur le Google Play Store et ont été découvertes par HUMAN dans des référentiels en ligne tiers, où elles se faisaient passer pour des « mods » », ont déclaré les chercheurs de Satori à Help Net Security.

Ils ont également noté que Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant, même lorsque ces applications proviennent de sources extérieures à Google Play.

« HUMAN continue de travailler en étroite collaboration avec le Google Play Store et d’autres entités pour réduire l’impact de PROXYLIB », ont-ils ajouté.

Sekoia.io et Orange Cyberdefense proposent des conseils complémentaires aux internautes et aux défenseurs des entreprises.

Les premiers devraient éviter d’installer des programmes gratuits susceptibles de regrouper des proxywares (ou même des malwares), mais s’ils choisissent de ne pas le faire, ils devraient :

  • Lisez les conditions d’utilisation de toute application qu’ils installent et désactivez la fonction proxy (si possible)
  • Évitez de télécharger des logiciels et des programmes piratés en dehors des magasins d’applications officiels

« En raison des risques liés à l’exécution d’un proxyware au sein d’un réseau d’entreprise, c’est-à-dire l’installation d’un logiciel non approuvé sur un appareil géré, les organisations devraient interdire de manière préventive l’installation de proxyware (via la liste noire/blanche des applications, la restriction des droits des utilisateurs, les règles de pare-feu/ACL internes, etc. .) », ont conseillé les chercheurs.

« Ceux qui souhaitent identifier les proxywares déjà installés (ou les tentatives d’installation de tels programmes) sur leurs réseaux devraient régulièrement rechercher la présence d’IOC connus spécifiques, en plus de configurer des stratégies de détection des comportements de trafic suspects. »

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepteLire la suite