Artık hem özel hem de iş amaçlı seyahatlerimizde veya kendimizi korumak için yerleşik proxy’leri daha fazla kullanıyoruz. Bu proxy’ler genellikle yasal amaçlar için kullanılmaktadır, özellikle pazar araştırmaları, reklamların doğrulanması ve arama motorlarının optimizasyonu gibi.
Ancak, bunlar aynı zamanda birçok siber suçlu için tercih edilen bir araçtır. Özellikle, reklam dolandırıcılığı, spam gönderme, dolandırıcılık veya MFA bombardımanı gibi suçlarda kullanılabilirler. Yerleşik proxy’ler sayesinde, siber suçlular gerçek kimliklerini ve konumlarını gizleyebilirler, bu da saldırılarını izlemeyi ve durdurmaya daha da zor hale getirir. Şu anda Apple kullanıcılarının yaşadığı gibi, bu tür suçlar halkı etkileyebilir.
Google Play Store’da, araştırmacılar tarafından tespit edilen 28 uygulama arasında, virüslü bir SDK (uygulama geliştirme kiti) içeren ve kullanıcılarının cihazlarını kendilerine rağmen proxy’lere dönüştüren en az 17 ücretsiz VPN uygulaması bulunmaktadır. Bu virüslü uygulamaları farkında olmadan ve muhtemelen ücretsiz VPN vaadiyle kandırılarak indiren kullanıcılar, daha sonra bilgisayar korsanları tarafından işlenen dolandırıcılık vakalarında suçlu olarak görülebilmektedir.
ProxyLib, ücretsiz VPN uygulamalarına bulaşan zararlı SDK
Human Security araştırmacıları, belirtilen tüm uygulamaların, proxy işlemleri için “ProxyLib” adlı bir golang kütüphanesini içeren bir LumiApps yazılım geliştirme kiti (SDK) kullandığını keşfetti.
Mayıs 2023’te, ücretsiz bir Android VPN olan Oko VPN’in, ProxyLib’i kullanan ilk uygulama olduğunu belirlediler. Daha sonra araştırmacılar, raporlarında belirttikleri gibi, aynı kütüphaneyi kullanan Android uygulama para kazanma hizmeti olan LumiApps tarafından da kullanıldığını tespit ettiler:
“Mayıs 2023’ün sonlarında Satori ekibi, hacker forumlarında ve lumiapps[.]io adlı bir para kazanma SDK’sına atıfta bulunan yeni VPN uygulamalarında etkinlik fark etti.“
Daha fazla araştırmanın ardından, bu SDK’nın tamamen aynı işlevselliğe sahip olduğu ve ProxyLib’in önceki sürümüne yönelik soruşturma sırasında incelenen kötü amaçlı uygulamalarla aynı sunucu altyapısını kullandığı görüldü. LumiApps, yasal olarak reklam araştırması amacıyla kullanılmaktadır.
Araştırmacılar, Android cihazlarını proxy’lere dönüştürmek için ProxyLib kütüphanesini kullanan 28 uygulamayı listeleyebildiler:
- Lite VPN
- Anims Keyboard
- Blaze Stride
- Byte Blade VPN
- Android 12 Launcher (by CaptainDroid)
- Android 13 Launcher (by CaptainDroid)
- Android 14 Launcher (by CaptainDroid)
- CaptainDroid Feeds
- Free Old Classic Movies (by CaptainDroid)
- Phone Comparison (by CaptainDroid)
- Fast Fly VPN
- Fast Fox VPN
- Fast Line VPN
- Funny Char Ging Animation
- Limo Edges
- Oko VPN
- Phone App Launcher
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- Shine Secure
- Speed Surf
- Swift Shield VPN
- Turbo Track VPN
- Turbo Tunnel VPN
- Yellow Flash VPN
- VPN Ultra
- Run VPN
Ancak, ücretsiz uygulamaların geliştiricilerinin SDK’nın kullanıcıların cihazlarını istenmeyen faaliyetler için kullanılabilecek proxy sunucularına dönüştürdüğünü bilip bilmedikleri hala belirsizliğini koruyor.
Araştırmacılar, proxy sağlayıcısının web sitesine yapılan bağlantıları gözlemledikten sonra, kötü amaçlı uygulamaların Rus konut proxy hizmeti sağlayıcısı Asocks ile bağlantılı olduğuna inanıyor. Asocks hizmeti genellikle siber suçlular tarafından bilgisayar korsanlığı forumlarında tanıtılmaktadır.
Google, Play Store’daki enfekte uygulamalardan kurtulmak için çaba sarfediyor.
Ocak 2024’te LumiApps, ProxyLib v2’nin yanı sıra SDK’sının ikinci büyük sürümünü piyasaya sürdü. Şirketin belirttiğine göre, bu güncelleme entegrasyon sorunlarını giderdi ve artık Java, Kotlin ve Unity projelerini destekliyor. Ancak, Human Security’de yayınlanan bir rapordan kısa bir süre sonra, Google Şubat 2024’te LumiApps SDK’sını kullanan tüm yeni ve mevcut uygulamaları Play Store’dan kaldırdı. Google ayrıca, uygulamalarda kullanılan LumiApp kütüphanelerini tespit etmek için Google Play Protect’i güncelledi.
Bu süre zarfında, yukarıda listelenen birçok uygulama, muhtemelen geliştiricilerin rahatsız edici SDK’yı kaldırdıktan sonra tekrar Google Play Store’da yayınlanabilir hale geldi. Bu uygulamalar bazen farklı geliştirici hesaplarından yayınlanıyordu, bu da daha önceki hesap yasaklamalarına işaret edebilir. Ancak, Google henüz yeniden yayınlanan uygulamaların güvenilirliği konusunda bir yorum yapmadı.
Bu nedenle, dikkatli olmak önemlidir. Eğer yukarıda listelenen uygulamalardan birini kullanıyorsanız, ilgili SDK’yı içermeyen en son sürüme güncellemeniz, proxy etkinliğine son verebilir. Ancak, tamamen kaldırmak daha güvenli bir seçenektir. Eğer bir uygulama Google Play Store’dan kaldırılmışsa ve güvenilir bir sürümü mevcut değilse, kaldırmanız tavsiye edilir. Play Protect, bu gibi durumlarda kullanıcıları uyaracaktır.
Son olarak, ücretli VPN uygulamalarını tercih etmek muhtemelen daha güvenlidir, çünkü bu tür ürünlerin veri toplama veya satma, reklam ve proxy hizmetlerine abonelik gibi dolaylı para kazanma planları uygulama olasılığı daha düşüktür.
Kaynak: Human Security, BleepingComputer