Gli esperti del Satori Threat Intelligence and Research Team hanno scoperto 17 app VPN gratuite, pubblicate sul Google Play Store, che poggiano tutte su un kit di sviluppo capace di trasformare i dispositivi Android in server proxy. Ovviamente senza che gli utenti ne fossero minimamente consapevoli.
Le VPN in questione abilitano segretamente un residential proxy ossia un tipo di server proxy che permette agli utenti di accedere a Internet attraverso un “nodo” intermedio e di apparire sulla rete con un indirizzo IP associato a una LAN domestica.
I residential proxy offrono ai malintenzionati anche la possibilità di nascondere la propria identità online dietro a un indirizzo IP residenziale legittimo, con tutte le implicazioni legali del caso. Sebbene infatti i proxy residenziali abbiano usi legittimi, molti cybercriminali li utilizzano per nascondere attività dannose, tra cui frodi pubblicitarie, spamming, phishing, rilevamento di credenziali di accesso e così via.
Quando installati senza alcuna autorizzazione, la banda di rete disponibile sulle reti locali delle vittime è utilizzata per scambiare ogni tipo di dato. Il rapporto pubblicato dal team intelligence Satori mette in evidenza che nel caso di specie, il proxy integrato nelle 17 VPN free può essere utilizzato per svolgere attività criminali.
Il funzionamento del proxy utilizzato nelle app VPN gratuite per Android
Gli analisti di HUMAN-Satori riferiscono che le app VPN per Android in questione utilizzano un kit di sviluppo software (SDK) fornito da LumiApps che conteneva Proxylib, una libreria Golang per attivare la funzionalità di proxying.
I ricercatori hanno scoperto la prima app VPN gratuita con Proxylib a maggio 2023, accertando che la medesima libreria era sfruttata dal servizio di monetizzazione LumiApps integrato in alcune app Android. Da fine maggio 2023, il team di Satori ha registrato un’intensa attività sui forum di hacking.
Questa la lista completa delle applicazioni Android, rivenute sul Play Store di Google, che trasformano lo smartphone in un proxy all’insaputa dell’utente. Tra di esse ci sono anche le 17 VPN gratuite menzionate in apertura.
La lista delle app
- Lite VPN
- Anims Keyboard
- Blaze Stride
- Byte Blade VPN
- Android 12 Launcher (by CaptainDroid)
- Android 13 Launcher (by CaptainDroid)
- Android 14 Launcher (by CaptainDroid)
- CaptainDroid Feeds
- Free Old Classic Movies (by CaptainDroid)
- Phone Comparison (by CaptainDroid)
- Fast Fly VPN
- Fast Fox VPN
- Fast Line VPN
- Funny Char Ging Animation
- Limo Edges
- Oko VPN
- Phone App Launcher
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- Shine Secure
- Speed Surf
- Swift Shield VPN
- Turbo Track VPN
- Turbo Tunnel VPN
- Yellow Flash VPN
- VPN Ultra
- Run VPN
A seguito del rapporto di HUMAN-Satori, Google ha rimosso qualsiasi app dal Play Store che utilizza il pacchetto SDK di LumiApps e ha aggiornato Google Play Protect per rilevare le librerie utilizzate nelle app.
Nel frattempo, molte app sopra elencate sono tornate di nuovo disponibili sullo store Google, presumibilmente dopo che gli sviluppatori hanno rimosso il software SDK dannoso. A volte la pubblicazione è avvenuta usando account diversi, a suggerire potenziali ban degli account adoperati in precedenza.
Il consiglio è verificare di non aver installato nessuna delle applicazioni indicate, procedendo eventualmente con la loro disinstallazione. Per stare sul sicuro, è bene affidarsi a servizi come usando NordVPN.
NordVPN utilizza una soluzione crittografica sicura e protocolli open source come ChaCha20 e WireGuard (NordLynx) per proteggere il traffico Internet, ha una politica no-log, quindi non traccia le attività online degli utenti o le loro informazioni personali, offre funzionalità di sicurezza aggiuntive come Threat Protection per proteggere dai pericoli online.
Credit immagine in apertura: iStock.com – NicoElNino