Androidスマホを無断でプロキシサーバにするVPNアプリに注意
2024年3月28日(木)7時46分 マイナビニュース
HUMANは3月26日(米国時間)、「Satori Threat Intelligence Alert: PROXYLIB and LumiApps Transform Mobile Devices into Proxy Nodes」において、Google公式ストアから配布された28のVPNアプリがバックグラウンドでプロキシサーバとして動作しているとして、詳細を伝えた。これらVPNアプリはHUMANの報告を受けて公式ストアから全て削除されている。
○悪意のある「PROXYLIB」とは
HUMANは発見したプロキシサーバ機能を、各アプリが使用しているライブラリにちなんで「PROXYLIB」と名付けている。HUMANによると、PROXYLIBは無断かつ自動的にデバイスをプロキシネットワークに登録し、外部からの通信の中継点として機能するという。また、プロキシネットワークとの通信を確立すると、通信の永続性を確保する機能も持つとされる。
PROXYLIBはプロキシネットワークの登録先として、ロシアのプロキシサービスプロバイダー「Asocks」を使用する。Asocksはハッキングフォーラムにてサイバー犯罪者向けに宣伝されることがあり、これらVPNアプリを使用すると通信帯域を無断でサイバー犯罪に悪用される可能性がある。
○影響と対策
HUMANの調査によると、PROXYLIBは通信帯域をAsocksに販売することで利益を得ている可能性があるとのこと。また、この機能を容易にアプリに組み込めるように、「LumiApps」から悪意のあるソフトウェア開発キット(SDK: Software Development Kit)が配布されているとして、開発者に注意を呼びかけている。
HUMANによって発見された悪意のあるVPNアプリは次のとおり。
app.litevpn.android
com.anims.keyboard
com.blazestride
com.bytebladevpn
com.captaindroid.android12.launcher
com.captaindroid.android13.launcher
com.captaindroid.android14.launcher
com.captaindroid.feeds
com.captaindroid.free.old.classic.movies
com.captaindroid.phone.comparison
com.fastflyvpn
com.fastfoxvpn
com.fastlinevpn.android
com.funnychar.ginganimation
com.limo.edges
com.okovpn.app
com.phone_app.launcher
com.quickflowvpn
com.samplevpn
com.securethunder
com.shinesecure
com.speedsurf
com.swiftshield.android
com.turbotrackvpn
com.turbotunnelvpn
com.yellowflashvpn
io.vpnultra
run.vpn
これらアプリを使用している場合、速やかに使用を中断して削除することが推奨されている。また、これら無料アプリは他人のリソースを消費して利益を得ようとするため、有料かつ妥当な料金体系のVPNアプリを使用することで攻撃を回避できる可能性がある。
○悪意のある「PROXYLIB」とは
HUMANは発見したプロキシサーバ機能を、各アプリが使用しているライブラリにちなんで「PROXYLIB」と名付けている。HUMANによると、PROXYLIBは無断かつ自動的にデバイスをプロキシネットワークに登録し、外部からの通信の中継点として機能するという。また、プロキシネットワークとの通信を確立すると、通信の永続性を確保する機能も持つとされる。
PROXYLIBはプロキシネットワークの登録先として、ロシアのプロキシサービスプロバイダー「Asocks」を使用する。Asocksはハッキングフォーラムにてサイバー犯罪者向けに宣伝されることがあり、これらVPNアプリを使用すると通信帯域を無断でサイバー犯罪に悪用される可能性がある。
○影響と対策
HUMANの調査によると、PROXYLIBは通信帯域をAsocksに販売することで利益を得ている可能性があるとのこと。また、この機能を容易にアプリに組み込めるように、「LumiApps」から悪意のあるソフトウェア開発キット(SDK: Software Development Kit)が配布されているとして、開発者に注意を呼びかけている。
HUMANによって発見された悪意のあるVPNアプリは次のとおり。
app.litevpn.android
com.anims.keyboard
com.blazestride
com.bytebladevpn
com.captaindroid.android12.launcher
com.captaindroid.android13.launcher
com.captaindroid.android14.launcher
com.captaindroid.feeds
com.captaindroid.free.old.classic.movies
com.captaindroid.phone.comparison
com.fastflyvpn
com.fastfoxvpn
com.fastlinevpn.android
com.funnychar.ginganimation
com.limo.edges
com.okovpn.app
com.phone_app.launcher
com.quickflowvpn
com.samplevpn
com.securethunder
com.shinesecure
com.speedsurf
com.swiftshield.android
com.turbotrackvpn
com.turbotunnelvpn
com.yellowflashvpn
io.vpnultra
run.vpn
これらアプリを使用している場合、速やかに使用を中断して削除することが推奨されている。また、これら無料アプリは他人のリソースを消費して利益を得ようとするため、有料かつ妥当な料金体系のVPNアプリを使用することで攻撃を回避できる可能性がある。
