HUMANのSatori Threat Intelligenceチームによると、Google Play Storeで観測された複数の悪意のあるAndroidアプリが、ユーザーの知らない間にそのデバイスを他の脅威アクターのための住宅用プロキシ(RESIPs)に変えることが明らかになった。これらのVPNアプリは、Golangライブラリを搭載しており、ユーザーのデバイスを知らず知らずのうちにプロキシノードに変換する。この操作は、企業によってPROXYLIBとコードネームされている。問題の29アプリは、Googleによって削除された。
住宅用プロキシは、インターネットサービスプロバイダ(ISP)が提供する実際のIPアドレスからなるプロキシサーバーのネットワークであり、ユーザーが実際のIPアドレスを隠しながらインターネットトラフィックを中間サーバーを通じてルーティングするのを助ける。しかし、これらは脅威アクターによる様々な攻撃の実行だけでなく、その起源を隠すためにも悪用される。
HUMANが発見したAndroid VPNアプリは、リモートサーバーとの接触を確立し、感染したデバイスをネットワークに登録し、プロキシネットワークからのリクエストを処理するよう設計されている。これらのアプリの一部は、2023年5月から10月の間にLumiAppsから提供されるSDKを組み込んでおり、このSDKにはプロキシウェア機能が含まれている。LumiAppsは、任意のAPKファイルをアップロードし、SDKをバンドルして再ダウンロードおよび共有できるサービスを提供している。これらの変更されたアプリは、Google Play Store内外で配布される。
PROXYLIBの背後にいる脅威アクターは、感染したデバイスによって作成されたプロキシネットワークへのアクセスをLumiAppsとAsocksを通じて販売していることが示されている。さらに、LumiAppsは、ユーザーデバイスを介してルーティングされるトラフィックの量に基づいて開発者に現金報酬を提供することで、できるだけ多くのアプリにSDKを組み込み、ボットネットの規模を拡大しようとしている。このSDKサービスは、ソーシャルメディアやブラックハットフォーラムで宣伝されている。
Orange CyberdefenseとSekoiaによる最近の研究では、住宅用プロキシが「断片化されながらも相互接続されたエコシステム」の一部であり、プロキシウェアサービスが様々な方法で宣伝されていることが特徴付けられている。ユーザーは、主要なアプリケーションと一緒にプロキシウェアがインストールされることに気付かない場合がある。この透明性の欠如は、ユーザーが明確な理解なしにインターネット接続を共有することにつながる。
Lumen Black Lotus Labsは、終了期限(EoL)の小規模オフィス/ホームオフィス(SOHO)ルーターやIoTデバイスが、Facelessと呼ばれる犯罪プロキシサービスを支えるためにTheMoonというボットネットによって侵害されていることを明らかにした。
【ニュース解説】
Google Play Storeで観測された複数の悪意のあるAndroidアプリが、ユーザーのデバイスを他の脅威アクターのための住宅用プロキシに変換することが発覚しました。これらのVPNアプリは、Golangライブラリを使用しており、ユーザーの知らない間にデバイスをプロキシノードに変えてしまいます。この操作はPROXYLIBというコードネームで呼ばれています。問題のアプリは29個あり、Googleによって削除されました。
住宅用プロキシは、インターネットサービスプロバイダーが提供する実際のIPアドレスを使用して構築されるプロキシサーバーのネットワークです。これにより、ユーザーは自身のIPアドレスを隠しながらインターネットトラフィックを中継することができます。しかし、この技術は脅威アクターによっても利用され、攻撃の起源を隠したり、さまざまな攻撃を実行するために悪用されています。
HUMANが発見したこれらのアプリは、リモートサーバーと接触し、感染したデバイスをネットワークに登録し、プロキシネットワークからのリクエストを処理するように設計されています。特に注目すべきは、一部のアプリがLumiAppsから提供されるSDKを組み込んでおり、このSDKにはプロキシウェア機能が含まれていることです。LumiAppsは、任意のAPKファイルにこのSDKをバンドルして再配布することを可能にしています。
この問題の背後にいる脅威アクターは、感染したデバイスを通じて作成されたプロキシネットワークへのアクセスを販売しています。LumiAppsは、アプリにSDKを組み込むことでボットネットの規模を拡大しようとしており、開発者にはトラフィックの量に基づいて現金報酬を提供しています。
このような行為は、ユーザーのデバイスを無断で利用し、インターネットの安全性を脅かすものです。ユーザーは、アプリをダウンロードする際には、その出所や権限要求を慎重に確認する必要があります。また、この問題は、アプリのセキュリティ審査プロセスの強化や、プロキシウェアといった悪意のある機能を持つアプリに対する一般の認識を高めることの重要性を浮き彫りにしています。
長期的には、このような脅威に対処するためには、技術的な対策だけでなく、法的・規制的な対策も必要になるでしょう。また、ユーザー教育の強化も重要です。ユーザーが自身のデバイスとデータを守るための知識とツールを持つことが、サイバーセキュリティの向上に繋がります。
from Malicious Apps Caught Secretly Turning Android Phones into Proxies for Cybercriminals.
“Google Playの悪意あるアプリ、ユーザーのデバイスを秘密裏にプロキシ化” への1件のコメント
このニュースは、私たちが日々使っているスマートフォンがどれだけ脆弱であるかを改めて教えてくれますね。特に、私のように新しいアプリを試したり、最新の機能に飛びつくことが多い人たちにとっては、気をつけなければならない事例だと思います。VPNアプリというのは、本来セキュリティを高めるために使うものですが、逆に自分のデバイスが他人に悪用されるリスクを持っているとは驚きました。
この問題に対処するには、アプリをダウンロードする際に出所を確認することが重要だと感じます。例えば、Google Play StoreやApple App Storeなど、信頼できるプラットフォームからのみアプリをダウンロードする、アプリのレビューや評価を確認する、そしてアプリにどのような権限が要求されているかをしっかりと確認することが必要だと思います。
また、このニュースは、私たちユーザーだけでなく、アプリ開発者やプラットフォーム運営者にもセキュリティ対策の重要性を再認識させるものです。開発者はアプリに悪意のあるコードが組み込まれないよう注意し、プラットフォーム運営者はセキュリティ審査をより厳格に行うべきだと思います。
最後に、このような脅威に対抗するためには、