家庭宽带代理是灰产行业一直都有巨大需求的一种产品,部分网站的安全策略会禁止数据中心 IP 地址访问,因此一些恶意爬虫或不良行为的爬虫会通过购买家庭宽带来代理自己的爬虫,即爬虫会经过家宽 IP 中转,这样可以避免被拦截。
在 Google Play 商店里研究人员发现多款免费或付费的 VPN 软件存在恶意的 SDK 工具包,这些 SDK 会将用户手机变成家宽代理共享给黑客。
也就是说当用户安装并使用这些 VPN 时,实际上黑客可以通过用户的手机来执行某些恶意操作,只不过恶意操作不是针对用户的,而是针对其他网站或目标。
安全公司 HUMAN 的 Satori 威胁情报团队在一份报告中指出,在 Google Play 中检测到 28 款 VPN 类或工具类应用,其中 17 个冒充是免费的 VPN 软件,这些都携带一个名为 ProxyLib 的库。
这个库来自 Android 应用货币化平台 LumiApps,该平台为开发者提供广告收入,只需要集成他们的 SDK 即可,表面上 LumiApps 称帮助一些企业收集互联网上的公开信息,它使用用户的 IP 地址在后台加载多个知名网站的多个网页,然后将数据发给这些公司。
然而经过溯源,LumiApps 平台与俄罗斯住宅代理服务提供商 (专门提供家宽 IP 的平台) Asocks 有关联,Asocks 则是在黑客论坛上宣传自己的服务,吸引黑客使用。
到今年 1 月份 LumiApps 发布了 ProxyLib v2 版解决集成问题并支持 Java、Kotlin 和 Unity 项目,吸引更多开发者将其集成到自己的 App 里。
接到 HUMAN 的报告后,谷歌从 2 月份删除了集成这个恶意库的应用程序,同时还改进了检测流程自动检测应用程序是否使用了 ProxyLib 库。
而此前被下架的一些 VPN 软件也重新上架了,不知道是不是删除了这个库后重新提交到 Google Play 并且审核通过了。
这 28 款有问题的应用列表如下: