Das Satori Threat Intelligence-Team hat eine Gruppe von 28 VPN-Apps im Google Play Store identifiziert, die unbemerkt die Geräte der Benutzer in Proxy-Knoten verwandeln. Die Proxy-Netzwerke lassen sich dann nutzen, um ihre Aktivitäten zu verschleiern. Die betreffenden Apps nutzen alle PROXYLIB, eine Golang-Bibliothek, die für die Einbindung der Geräte in das Proxy-Netzwerk verantwortlich ist.
Proxy-Netzwerke werden von Thread Actors genutzt, um ihre Aktivitäten zu verbergen, indem sie den Ursprung des Verkehrs verschleiern. PROXYLIB transformiert Geräte in Knotenpunkte für solche Netzwerke, ohne dass die Benutzer davon wissen. Diese Aktivitäten umfassen unter anderem groß angelegten Werbebetrug und Credential-Stuffing-Angriffe.
Die Entdeckung folgt auf den Fund einer einzelnen schädlichen VPN-App – Oko VPN – im Mai 2023, woraufhin diese aus dem Play Store entfernt wurde und nur noch über die Seite des Anbieters verfügbar ist. Weitere Untersuchungen führten zur Identifizierung von 28 mit PROXYLIB verbundenen Apps.
Die Forscher konnten auch eine Verbindung zwischen PROXYLIB und Asocks, einem Verkäufer von Proxy-Diensten, feststellen. Es wird angenommen, dass die Thread Actors Asocks nutzen, um das PROXYLIB-Netzwerk zu monetarisieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: