Investigadores han descubierto que una serie de aplicaciones gratuitas de redes virtuales privadas (VPN, por sus siglas en inglés) disponibles en Google Play transformaron 'smartphones' en 'proxy' residenciales sin el consentimiento de sus propietarios.
Un 'proxy' es un equipo informático que funciona como enlace entre las conexiones de un cliente y un servidor de destino, de modo que filtra las peticiones del usuario para acceder a una página y se las transmite al servidor de la web.
En este caso, un 'proxy' residencial es un intermediario que emplea una dirección IP proporcionada con un proveedor de servicios de Internet (ISP, por sus siglas en inglés). Entre sus principales ventajas destacan tanto su alto nivel de anonimato como su baja tasa de bloqueo.
Investigadores de la unidad Satori Thread Intelligence de la firma de seguridad HUMAN han identificado recientemente un grupo de aplicaciones disponibles en Google Play que tenían la capacidad de transformar los dispositivos móviles en 'proxy' residenciales sin el conocimiento sus propietarios.
Del total de las 28 aplicaciones de la tienda oficial de Google para terminales Android interceptadas por el equipo que llevaban a cabo esta actividad, 14 se hicieron pasar por 'software' de VPN gratuito. Entre ellas, Fast Fly VPN, Oko VPN, VPN Ultra o Run VPN.
Todas ellas empleaban el kit de desarrollo (SDK) de monetización conocido como LumiApps, contenedor de Proxylib -nombre con el que se ha denominado a esta campaña maliciosa-, esto es, una biblioteca de 'malware' escrita en lenguaje de programación Golang que permitía establecer una conexión bidireccional a una red 'proxy' sin el consentimiento de los usuarios.
Asimismo, los investigadores comprobaron que LumiApps proporcionaba un servicio donde cualquier persona puede cargar un paquete de aplicaciones de Android (APK, por sus siglas en inglés) sin la necesidad de conocer el código fuente. Una vez implementado, se puede descargar y volver a compartir como nueva versión modificada del SDK.
También advirtieron que, si bien estas aplicaciones eran diferentes entre sí, «todas siguieron aproximadamente el mismo proceso para cargar la biblioteca maliciosa, registrar el dispositivo en la red de nodos y ejecutar el 'proxy'», según el comunicado de HUMAN.
Una vez iniciadas estas aplicaciones, se conectaban con un servidor C2 para inscribir el dispositivo en el que se hubiese descargado la aplicación, a fin de crear un Protocolo de Control de Transmisión (TCP, por sus siglas en inglés) entre el 'smartphone' y la red 'proxy'.
Una vez establecida esta conexión, la mencionada biblioteca -libgojni.so- se encargaba de gestionar cualquier solicitud entrante, así como algunos permisos. Entre ellos FOREGROUND_SERVICE (para crear servicios en primer plano) y BOOT_COMPLETED /que permite ejecutar una 'app' al arrancar al teléfono).
Venta en asocks
El equipo de Satori también ha avanzado que el actor de amenazas que promueve esta campaña está vendiendo acceso a estas redes creadas por dispositivos infectados a través de una vendedora de 'proxy' residenciales llamada Asocks.
La plataforma de Asocks permite a los usuarios crear y administrar sus conexiones 'proxy' y puntos de salida. Tras analizar las 150.000 combinaciones de direcciones IP y números de puerto devueltas por un 'endpoint' de su lista, HUMAN encontró solo 170 direcciones IP únicas, consideradas los puntos de entrada del 'proxy' residencial.
Por otro lado, los investigadores han adelantado que el actor de amenazas detrás de esta campaña gana dinero vendiendo acceso a la red de 'proxy' residencial a otros usuarios y que, para incentivar estas compras por parte de desarrolladores u otros actores de amenazas, promociona LumiApps como un método alternativo de monetización para mostrar publicidad.
En este sentido, HUMAN ha matizado que la plataforma indica en su apartado de 'Preguntas frecuentes' que recompensa a los desarrolladores con pagos en efectivo en función de la cantidad de tráfico que se dirige a través de los dispositivos de los usuarios.
Así, los creadores de la campaña buscan reclutar usuarios de LumiApps para aumebntar la cantidad de víctimas, ya sea a través de foros de piratería o, incluso, de redes sociales, para implicar tanto a desarrolladores legítimos como a ciberdelincuentes.
HUMAN ha comentado finalmente que ha identificado una conexión entre Asocks y LumiApps a través de los datos de registro de esta plataforma a través de correos electrónicos de confirmación. Esto se debe a que, cuando un usuario registra una cuenta en la plataforma, los emails indican el dominio bproxy.one. Al buscarlo a través de archive.org, se llega a una versión antigua de la web de Asocks. Esto demostraría que ambos servicios están conectados y pertenecen o están operados por el mismo actor de amenazas.
Con ello, ha dicho que, tras informar a Google sobre la existencia de estas aplicaciones en Play Store, eliminó de ella todos los servicios que contenían el SDK de LumpiApps y actualizó Google Play Protect para detectar estas bibliotecas utilizadas a partir de ahora en otras 'apps'.
Sin embargo, algunas de las aplicaciones intervenidas se mantienen en la tienda de Google, después de que sus desarrolladores eliminaran el SDK infractor. No obstante, Bleeping Computer ha desubierto que algunas de ellas se han republicado desde otras cuentas, lo que podría indicar "prohibiciones de cuentas anteriores". Por el momento, Google no ha confirmado que estas aplicaciones no contienen el kit de desarrollo malicioso.
En cualquier caso, desde HUMAN han asegurado que continúan trabajando para detener la amenaza que representa esta campaña y que se trata de una «investigación en curso» para blqouear actores de amenazas maliciosos y operaciones de fraude a medida que los ciberdelincuentes continúan actualizando los SDK.