Se descubrió que una serie de aplicaciones gratuitas de redes privadas (VPN) disponibles en Google Play transformaron ‘smartphones’ en ‘proxy’ residenciales sin el consentimiento de sus propietarios.
Un ‘proxy’ es un equipo informático que funciona como enlace entre las conexiones de un cliente y un servidor de destino.
Se trata de un servicio que filtra las peticiones del usuario para acceder a una página y se las transmite al servidor de la web.
UNA BAJA TASA DE BLOQUEO
En este caso, un ‘proxy’ residencial es un intermediario que emplea una dirección IP proporcionada con un proveedor de servicios de Internet (ISP, por sus siglas en inglés).
Entre sus principales ventajas destacan tanto su alto nivel de anonimato como su baja tasa de bloqueo.
Quienes lograron este descubrimiento fueron Investigadores de la unidad Satori Thread Intelligence de la firma de seguridad HUMAN.
EL SISTEMA DE MONETIZACIÓN LUMIAPPS
Del total de las 28 aplicaciones de la tienda oficial de Google para terminales Android interceptadas por el equipo que llevaban a cabo esta actividad, 14 se hicieron pasar por ‘software’ de VPN gratuito.
Entre ellas, Fast Fly VPN, Oko VPN, VPN Ultra o Run VPN.
Todas ellas empleaban el kit de desarrollo (SDK) de monetización conocido como LumiApps, contenedor de Proxylib -nombre con el que se ha denominado a esta campaña maliciosa-.
Esto es una biblioteca de ‘malware’ escrita en lenguaje de programación Golang que permitía establecer una conexión bidireccional a una red ‘proxy’ sin el consentimiento de los usuarios.
TODAS LAS APLICACIONES CON CASI EL MISMO PROCESO
Asimismo, los investigadores comprobaron que LumiApps daba un servicio donde cualquier persona puede cargar un paquete de aplicaciones de Android (APK) sin tener que conocer el código fuente.
Una vez implementado, se puede descargar y volver a compartir como nueva versión modificada del SDK.
Destacaron que estas aplicaciones variaban entre sí, pero “todas siguieron casi el mismo proceso para cargar la biblioteca maliciosa, registrar el dispositivo en la red de nodos y ejecutar el ‘proxy’”.
UN SERVIDOR C2
Una vez iniciadas estas aplicaciones, se conectaban con un servidor C2 para inscribir el dispositivo en el que se hubiese descargado la aplicación.
El objetivo de esto era crear un Protocolo de Control de Transmisión (TCP, por sus siglas en inglés) entre el ‘smartphone’ y la red ‘proxy’.
Una vez establecida esta conexión, la mencionada biblioteca -libgojni.so- se encargaba de gestionar cualquier solicitud entrante, así como algunos permisos.
Entre ellos FOREGROUND_SERVICE (para crear servicios en primer plano) y BOOT_COMPLETED /que permite ejecutar una ‘app’ al arrancar al teléfono).
VENTA EN ASOCKS
También se indicó que el actor de amenazas que se promueve está vendiendo acceso a estas redes creadas por dispositivos infectados con una vendedora de ‘proxy’ residenciales llamada Asocks.
La plataforma de Asocks permite a los usuarios crear y administrar sus conexiones ‘proxy’ y puntos de salida.
Tras analizar las 150.000 combinaciones de direcciones IP y números de puerto devueltas por un ‘endpoint’ de su lista, HUMAN encontró solo 170 direcciones IP únicas.
Estas son consideradas los puntos de entrada del ‘proxy’ residencial.
RECOMPENSA A DESARROLLADORES
Por otro lado, los investigadores han adelantado que el actor de amenazas detrás de esta campaña gana dinero vendiendo acceso a la red de ‘proxy’ residencial a otros usuarios.
A su vez, para incentivar estas compras por parte de desarrolladores u otros actores de amenazas, promociona LumiApps como un método alternativo de monetización para mostrar publicidad.
Así, HUMAN apuntó que se indica en el apartado de ‘Preguntas frecuentes’ que recompensa a los desarrolladores con pagos en función del tráfico que se dirige por los dispositivos de los usuarios.
DESARROLLADORES LEGÍTIMOS Y CIBERDELINCUENTES
Así, los creadores de la campaña buscan reclutar usuarios de LumiApps para aumentar la cantidad de víctimas, ya sea a través de foros de piratería o, incluso, de redes sociales.
De esa forma, se apunta a implicar tanto a desarrolladores legítimos como a ciberdelincuentes.
HUMAN ha comentado finalmente que ha identificado una conexión entre Asocks y LumiApps a través de los datos de registro de esta plataforma a través de correos electrónicos de confirmación.
SE ELIMINAN SERVICIOS CON SDK DE LUMPIAPPS
Esto es porque, cuando un usuario registra una cuenta en la plataforma, los emails indican el dominio bproxy.one. Al buscarlo a través de archive.org, se llega a una versión antigua de la web de Asocks.
Esto demostraría que ambos servicios están conectados y pertenecen o están operados por el mismo actor de amenazas.
Con ello, ha dicho que, tras informar a Google sobre la existencia de estas aplicaciones en Play Store, eliminó de ella todos los servicios que contenían el SDK de LumpiApps.
SE ACTUALIZÓ GOOGLE PLAY PROTECT
Además, actualizó Google Play Protect para detectar estas bibliotecas utilizadas a partir de ahora en otras ‘apps’.
Sin embargo, algunas de las aplicaciones intervenidas se mantienen en la tienda de Google, después de que sus desarrolladores eliminaran el SDK infractor.
No obstante, Bleeping Computer ha desubierto que algunas de ellas se han republicado desde otras cuentas, lo que podría indicar “prohibiciones de cuentas anteriores”.
UNA INVESTIGACIÓN EN CURSO
Por el momento, Google no ha confirmado que estas aplicaciones no contienen el kit de desarrollo malicioso.
En cualquier caso, desde HUMAN aseguraron que continúan trabajando para detener la amenaza que representa esta campaña.
Afirman que se trata de una “investigación en curso” para bloquear actores de amenazas maliciosos y operaciones de fraude a medida que los ciberdelincuentes continúan actualizando los SDK.
Fuente: EP.
