Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
PROXYLIB trasforma gli smartphone in nodi proxy residenziali
Il team di threat intelligence di HUMAN ha identificato numerose applicazioni VPN disponibili sul Play Store che trasformavano i dispositivi utente in un nodo proxy senza che ne fossero a conoscenza. La campagna, identificata come PROXYLIB, ha permesso agli attaccanti di creare una rete di proxy residenziali ed eseguire altri attacchi, come il web scraping, l’esecuzione di transazioni o il furto di identità.
I ricercatori hanno individuato una prima applicazione malevola, Oko VPN, sul Play Store a maggio 2023, e un’analisi approfondita ha fatto emergere altre 28 applicazioni legate all’operazione PROXYLIB; in seguito, il team ha individuato anche LumiApps, una versione più avanzata dell’SDK precedente.
Le applicazioni che contenevano l’SDK di PROXYLIB includevano una libreria malevola in grado di stabilire una connessione bidirezionale a una rete di proxy, trasformando il dispositivo dell’utente in un nodo proxy residenziale senza interazione umana. La maggior parte delle applicazioni individuate dal team erano pubblicate sul Play Store come app gratuite per la VPN.
Pixabay
Poco tempo dopo il team ha scoperto un nuovo SDK, lumiapps.io, che possedeva le stesse funzionalità e usava la stessa infrastruttura server della prima versione di PROXYLIB. Nel caso di LumiApps, oltre a poter integrare un SDK malevolo nelle loro applicazioni, gli attaccanti potevano usare una piattaforma che, caricato un APK, integrava automaticamente l’SDK per la creazione dei nodi proxy.
Il servizio consentiva a chiunque di caricare un APK senza possedere il codice sorgente e modificarlo inserendovi le funzionalità LumiApps, per poi caricarlo sul Play Store.
La monetizzazione tramite Asocks
Secondo l’analisi di HUMAN, l’operazione PROXYLIB sarebbe legata ad Asocks, un rivenditore di proxy residenziali: il gruppo utilizzerebbe la piattaforma per vendere l’accesso alla rete di proxy creata tramite le proprie applicazioni. I ricercatori hanno individuato numerose richieste del malware PROXYLIB dirette verso asocks.com provenienti dai dispositivi infetti.
Per incentivare gli sviluppatori a utilizzare l’SDK malevolo nelle proprie applicazioni e monetizzare le connessioni, gli attaccanti hanno cominciato a promuovere LumiApps e gli SDK collegati come un metodo alternativo di guadagno: stando alle FAQ presenti sul sito, la piattaforma ricompensa gli sviluppatori con pagamenti in denaro in base alla quantità di traffico instradato tramite i nodi proxy creati con le applicazioni.
Pixabay
PROXYLIB continuerà a evolvere
Al momento Google ha eliminato le 28 applicazioni dal Play Store che contenevano l’SDK PROXYLIB, ma è probabile che ne nascano altre. “Gli attaccanti continuano a usare la piattaforma LumiApps e rilasciare nuove versioni dell’SDK che può essere usato in altre applicazioni” spiegano i ricercatori.
Google Play Protect avvisa gli utenti Android di potenziali applicazioni malevole, in alcuni casi bloccandole direttamente, anche quando non sono state scaricate dallo store ufficiale. Sebbene sia un’importante strumento di protezione da tenere sempre attivo, alcune applicazioni potrebbero sfuggire ai controlli di sicurezza.
HUMAN ricorda agli utenti di scaricare applicazioni solo da marketplace ufficiali ed evitare cloni di app popolari che potrebbero contenere malware o funzionalità indesiderate come quella del proxy.
Condividi l'articolo
Hacktivisti rubano un database di detenuti in Russia per far luce sulla morte di Naval'nyj
L'approccio CTEM migliora la sicurezza del cloud
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
