傢庭寬帶代理是灰產行業一直都有巨大需求的一種產品,部分網站的安全策略會禁止數據中心IP地址訪問,因此一些惡意爬蟲或不良行為的爬蟲會通過購買傢庭寬帶來代理自己的爬蟲,即爬蟲會經過傢寬IP中轉,這樣可以避免被攔截。
在 Google Play 商店裡研究人員發現多款免費或付費的 VPN 軟件存在惡意的 SDK 工具包,這些 SDK 會將用戶手機變成傢寬代理共享給黑客。
也就是說當用戶安裝並使用這些 VPN 時,實際上黑客可以通過用戶的手機來執行某些惡意操作,隻不過惡意操作不是針對用戶的,而是針對其他網站或目標。
安全公司 HUMAN 的 Satori 威脅情報團隊在一份報告中指出,在 Google Play 中檢測到 28 款 VPN 類或工具類應用,其中 17 個冒充是免費的 VPN 軟件,這些都攜帶一個名為 ProxyLib 的庫。
這個庫來自 Android 應用貨幣化平臺 LumiApps,該平臺為開發者提供廣告收入,隻需要集成他們的 SDK 即可,表面上 LumiApps 稱幫助一些企業收集互聯網上的公開信息,它使用用戶的 IP 地址在後臺加載多個知名網站的多個網頁,然後將數據發給這些公司。
然而經過溯源,LumiApps 平臺與俄羅斯住宅代理服務提供商 (專門提供傢寬 IP 的平臺) Asocks 有關聯,Asocks 則是在黑客論壇上宣傳自己的服務,吸引黑客使用。
到今年 1 月份 LumiApps 發佈 ProxyLib v2 版解決集成問題並支持 Java、Kotlin 和 Unity 項目,吸引更多開發者將其集成到自己的 App 裡。
接到 HUMAN 的報告後,谷歌從 2 月份刪除集成這個惡意庫的應用程序,同時還改進檢測流程自動檢測應用程序是否使用 ProxyLib 庫。
而此前被下架的一些 VPN 軟件也重新上架,不知道是不是刪除這個庫後重新提交到 Google Play 並且審核通過。
這 28 款有問題的應用列表如下:
Lite VPN
Anims Keyboard
Blaze Stride
Byte Blade VPN
Android 12 Launcher (by CaptainDroid)
Android 13 Launcher (by CaptainDroid)
Android 14 Launcher (by CaptainDroid)
CaptainDroid Feeds
Free Old Classic Movies (by CaptainDroid)
Phone Comparison (by CaptainDroid)
Fast Fly VPN
Fast Fox VPN
Fast Line VPN
Funny Char Ging Animation
Limo Edges
Oko VPN
Phone App Launcher
Quick Flow VPN
Sample VPN
Secure Thunder
Shine Secure
Speed Surf
Swift Shield VPN
Turbo Track VPN
Turbo Tunnel VPN
Yellow Flash VPN
VPN Ultra
Run VPN