Les applications VPN gratuites sur Google Play ont transformé les téléphones Android en proxys

Plus de 15 applications VPN gratuites sur Google Play ont été découvertes à l’aide d’un kit de développement de logiciels malveillants qui a transformé les appareils Android en proxys résidentiels involontaires, probablement utilisés pour la cybercriminalité et les robots commerciaux.

Les proxys résidentiels sont des appareils qui acheminent le trafic Internet via des appareils situés dans les maisons d’autres utilisateurs distants, ce qui donne l’impression que le trafic est légitime et moins susceptible d’être bloqué.

Bien qu’ils soient utilisés légitimement pour les études de marché, la vérification des publicités et le référencement, de nombreux cybercriminels les utilisent pour dissimuler des activités malveillantes, notamment la fraude publicitaire, le spam, le phishing, le credential stuffing et la pulvérisation de mots de passe.

Les utilisateurs peuvent s’inscrire volontairement sur des services proxy pour obtenir des récompenses monétaires ou autres en retour, mais certains de ces services proxy emploient des moyens contraires à l’éthique et louches pour installer secrètement leurs outils de proxy sur les appareils des gens.

Lorsqu’elles sont installées secrètement, les victimes verront leur bande passante Internet détournée à leur insu et risqueront des problèmes juridiques en raison de leur apparition comme source d’activité malveillante.

Proxy d’applications VPN Android

Un rapport publié aujourd’hui par l’équipe de renseignement sur les menaces Satori de HUMAN répertorie 28 applications sur Google Play qui ont secrètement transformé des appareils Android en serveurs proxy. Sur ces 28 applications, 17 ont été présentées comme des logiciels VPN gratuits.

Les analystes de Satori rapportent que les applications incriminées utilisaient toutes un kit de développement logiciel (SDK) de LumiApps contenant « Proxylib », une bibliothèque Golang pour effectuer le proxy.

HUMAN a découvert la première application opérateur PROXYLIB en mai 2023, une application VPN Android gratuite nommée « Oko VPN ». Les chercheurs ont ensuite découvert la même bibliothèque utilisée par le service de monétisation des applications Android LumiApps.

 » Fin mai 2023, les chercheurs de Satori ont observé une activité sur des forums de hackers et de nouvelles applications VPN faisant référence à un SDK de monétisation, applications Lumi[.]io« , explique le rapport Satori.

« Après une enquête plus approfondie, l’équipe a déterminé que ce SDK possède exactement les mêmes fonctionnalités et utilise la même infrastructure de serveur que les applications malveillantes analysées dans le cadre de l’enquête sur la version antérieure de PROXYLIB. « 

Une enquête ultérieure a révélé un ensemble de 28 applications qui utilisaient la bibliothèque ProxyLib pour convertir les appareils Android en proxys, répertoriées ci-dessous :

1. VPN léger
2. Clavier animé
3. Foulée flamboyante
4. VPN lame d’octets
5. Lanceur Android 12 (par CaptainDroid)
6. Lanceur Android 13 (par CaptainDroid)
7. Lanceur Android 14 (par CaptainDroid)
8. Flux CaptainDroid
9. Vieux films classiques gratuits (par CaptainDroid)
10. Comparaison de téléphones (par CaptainDroid)
11. VPN rapide
12. VPN Rapide Fox
13. VPN en ligne rapide
14. Animation drôle de Char Ging
15. Bords de limousine
16. VPN pour les yeux
17. Lanceur d’application téléphonique
18. VPN à flux rapide
19. Exemple de VPN
20. Tonnerre sécurisé
21. Brillez en toute sécurité
22. Surf rapide
23. VPN Bouclier Swift
24. Turbo Track VPN
25. VPN TurboTunnel
26. VPN Flash Jaune
27. VPN Ultra
28. Exécutez un VPN

LumiApps est une plate-forme de monétisation d’applications Android qui indique que son SDK utilisera l’adresse IP d’un appareil pour charger des pages Web en arrière-plan et envoyer les données récupérées aux entreprises.

« Lumiapps aide les entreprises à collecter des informations accessibles au public sur Internet. Il utilise l’adresse IP de l’utilisateur pour charger plusieurs pages Web en arrière-plan à partir de sites Web bien connus », peut-on lire sur le site LumiApps.

« Cela se fait d’une manière qui n’interrompt jamais l’utilisateur et est entièrement conforme au RGPD/CCPA. Les pages Web sont ensuite envoyées aux entreprises, qui les utilisent pour améliorer leurs bases de données, offrant de meilleurs produits, services et tarifs. »

Cependant, il n’est pas clair si les développeurs d’applications gratuites savaient que le SDK convertissait les appareils de leurs utilisateurs en serveurs proxy pouvant être utilisés pour des activités indésirables.

HUMAN pense que les applications malveillantes sont liées au fournisseur de services proxy résidentiel russe « Asocks » après avoir observé les connexions établies avec le site Web du fournisseur proxy. Le service Asocks est généralement promu auprès des cybercriminels sur les forums de piratage.

En janvier 2024, LumiApps a publié la deuxième version majeure de son SDK avec Proxylib v2. Selon l’entreprise, cela résout les « problèmes d’intégration » et prend désormais en charge les projets Java, Kotlin et Unity.

Suite au rapport de HUMAN, Google a supprimé toutes les applications nouvelles et restantes utilisant le SDK LumiApps du Play Store en février 2024 et a mis à jour Google Play Protect pour détecter les bibliothèques LumiApp utilisées dans les applications.

Pendant ce temps, de nombreuses applications répertoriées ci-dessus sont désormais à nouveau disponibles sur le Google Play Store, probablement après que leurs développeurs ont supprimé le SDK incriminé. Ils étaient parfois publiés à partir de différents comptes de développeurs, indiquant potentiellement des interdictions de comptes antérieures.

BleepingComputer a contacté Google pour un commentaire sur l’état des applications actuellement disponibles utilisant les mêmes noms et si elles sont désormais sûres, mais nous n’avons pas encore de réponse.

Si vous avez utilisé l’une des applications répertoriées, la mise à jour vers la version la plus récente qui n’utilise pas le SDK particulier arrêtera l’activité de proxy. Cependant, par mesure de prudence, il peut être plus sûr de les supprimer complètement.

Si l’application a été supprimée de Google Play et qu’aucune version sécurisée n’existe, il est recommandé de la désinstaller. Play Protect devrait également avertir les utilisateurs dans ce cas.

Enfin, il est probablement plus sûr d’utiliser des applications VPN payantes plutôt que des services gratuits, car de nombreux produits de cette dernière catégorie sont plus désireux de mettre en œuvre des systèmes de monétisation indirecte, notamment la collecte/vente de données, la publicité et l’inscription à des services proxy.

Mise à jour du 27/03 – Un porte-parole de Google a envoyé à BleepingComputer le commentaire suivant :

Google Play Protect protège automatiquement les utilisateurs en désactivant ces applications identifiées. Une fois les applications désactivées, elles ne peuvent pas s’exécuter sur l’appareil ni nuire à l’appareil.

Google Play Protect fournira également un avertissement et demandera aux utilisateurs s’ils souhaitent une désinstallation complète.

Le porte-parole a également confirmé que les 28 applications malveillantes signalées par HUMAN ont désormais été supprimées de Google Play.

Par conséquent, toutes les applications portant des noms identiques ou similaires à ceux mentionnés dans la liste ci-dessus sont totalement sûres à utiliser.