Play Store: Bösartige Apps machen Android-Smartphones zu Proxy-Knoten
(Bild: Tada Images/Shutterstock.com)
Im Google Play Store sind Apps aufgetaucht, die Smartphones mittels Proxylib und LumiApps SDK in Proxy-Knoten für Kriminelle verwandeln.
In Googles Play Store tummelten sich 28 Apps, die ohne Wissen der Besitzer Smartphones in Endpunkte respektive Knoten eines Proxy-Netzwerks für Cyberkriminelle verwandelten. Die IT-Forscher von Human haben unter anderem VPN-Apps entdeckt, die sie der Kampagne zuordnen, die sie Proxylib getauft haben.
In einem Blog-Beitrag erläutern Humans IT-Sicherheitsforscher [1], dass derartige Proxys bei Privatnutzern von bösartigen Akteuren häufig genutzt würden, um ihre kriminellen Machenschaften zu verbergen. Dazu zählen etwa Werbebetrug oder der Einsatz von Bots. Zugang zu solchen Proxy-Netzen kaufen sie oftmals von anderen Cyberkriminellen, die wiederum Proxys durch das Verteilen von in Apps für Smartphones oder Desktop-Anwendungen eingebettete Malware kreierten.
Proxylib- und Lumiapps-SDK-Malware im Playstore
Insgesamt haben die Forscher 28 Apps in Googles Play Store aufgespürt, bei denen es sich vorgeblich um VPN-Software handele. Bereits im Mai 2023 fiel die Software "Oko VPN" als bösartig auf, woraufhin sie aus Googles Play Store entfernt wurde. Die 28 Anwendungen nutzen eine Golang-Bibliothek, die in jeder der Apps für die Bereitstellung des Proxy-Knotens verantwortlich zeichnet, deren Name Proxylib die Analysten für die Malware verwenden.
Folgeversionen von Proxylib wurden in dem Lumiapps SDK eingebaut, das App-Entwickler einfach in ihre Anwendungen integrieren können. Ein Anbieter solcher Privatanwender-Proxys namens Asocks sei demnach mit der Malware [2] verbunden. Die kriminellen Drahtzieher hinter Proxylib versuchen offenbar, darüber ihr Proxylib-Netzwerk zu monetarisieren.
Die IT-Forscher zählen noch weitere Nutzungsmöglichkeiten solcher Porxy-Netzwerke für bösartige Akteure auf: Passwort-Spraying, großflächiger Werbebetrug oder Credential Stuffing lassen sich dadurch ausführen. Das verschleiert den Netzwerkverkehr, da die IP-Adressen von unverdächtigen Privatanschlüssen anstatt etwa aus einem Rechenzentrum stammen. In der Analyse gehen die IT-SIcherheitsforscher noch detaillierter auf die Funktionsweise der Malware ein.
Die Liste der Apps, die aus dem Play Store entfernt wurden:
- app.litevpn.android
- com.anims.keyboard
- com.blazestride
- com.bytebladevpn
- com.captaindroid.android12.launcher
- com.captaindroid.android13.launcher
- com.captaindroid.android14.launcher
- com.captaindroid.feeds
- com.captaindroid.free.old.classic.movies
- com.captaindroid.phone.comparison
- com.fastflyvpn
- com.fastfoxvpn
- com.fastlinevpn.android
- com.funnychar.ginganimation
- com.limo.edges
- com.okovpn.app
- com.phone_app.launcher
- com.quickflowvpn
- com.samplevpn
- com.securethunder
- com.shinesecure
- com.speedsurf
- com.swiftshield.android
- com.turbotrackvpn
- com.turbotunnelvpn
- com.yellowflashvpn
- io.vpnultra
- run.vpn
Wer eine dieser Apps noch auf seinem Smartphone hat, möglicherweise aus anderen Quellen, sollte sie manuell entfernen. Google spüre sie aber inzwischen auch mit dem Play-Protect-Mechanismus auf, um sie zu entfernen. Nutzer sollten daher sicherstellen, dass ihr Android-Handy davon überprüft wird.
(dmk [3])
URL dieses Artikels:
https://www.heise.de/-9668731
Links in diesem Artikel:
[1] https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-proxylib-and-lumiapps-transform-mobile-devices-into-proxy-nodes
[2] https://www.heise.de/thema/Malware
[3] mailto:dmk@heise.de
Copyright © 2024 Heise Medien