Ciberseguridad 360 | Aplicaciones maliciosas convierten en secreto teléfonos Android en servidores proxy

Se han observado en Google Play Store varias aplicaciones maliciosas para Android que convierten los dispositivos m�viles que ejecutan el sistema operativo en proxies residenciales (RESIP) para otros actores de amenazas.

Los hallazgos proceden del equipo Satori Threat Intelligence de HUMAN, que afirma que el grupo de aplicaciones VPN ven�a equipado con una biblioteca Golang que transformaba el dispositivo del usuario en un nodo proxy sin su conocimiento.

La empresa ha bautizado la operaci�n con el nombre en clave de PROXYLIB. Google ha retirado las 29 aplicaciones en cuesti�n.

Los proxies residenciales son una red de servidores proxy basados en direcciones IP reales proporcionadas por los proveedores de servicios de Internet (ISP), que ayudan a los usuarios a ocultar sus direcciones IP reales enrutando su tr�fico de Internet a trav�s de un servidor intermediario.

Dejando a un lado las ventajas del anonimato, los actores de amenazas pueden abusar de ellos no s�lo para ocultar sus or�genes, sino tambi�n para llevar a cabo una amplia gama de ataques.

"Cuando un actor de amenazas utiliza un proxy residencial, el tr�fico de estos ataques parece provenir de diferentes direcciones IP residenciales en lugar de una IP de un centro de datos u otras partes de la infraestructura de un actor de amenazas", dijeron los investigadores de seguridad. "Muchos actores de amenazas compran acceso a estas redes para facilitar sus operaciones".

Algunas de estas redes pueden ser creadas por operadores de malware que enga�an a usuarios desprevenidos para que instalen aplicaciones falsas que esencialmente acorralan los dispositivos en una botnet que luego se monetiza para obtener beneficios mediante la venta del acceso a otros clientes.

Las aplicaciones VPN para Android descubiertas por HUMAN est�n dise�adas para establecer contacto con un servidor remoto, registrar el dispositivo infectado en la red y procesar cualquier solicitud de la red proxy.

Otro aspecto destacable de estas aplicaciones es que un subconjunto de ellas identificado entre mayo y octubre de 2023 incorpora un kit de desarrollo de software (SDK) de LumiApps, que contiene la funcionalidad proxyware. En ambos casos, la capacidad maliciosa se lleva a cabo utilizando una biblioteca Golang nativa.

LumiApps tambi�n ofrece un servicio que b�sicamente permite a los usuarios cargar cualquier archivo APK de su elecci�n, incluidas aplicaciones leg�timas, y asociarle el SDK sin tener que crear una cuenta de usuario, que luego puede volver a descargarse y compartirse con otros.

"LumiApps ayuda a las empresas a recopilar informaci�n que est� disponible p�blicamente en Internet", afirma la empresa israel� en su p�gina web. "Utiliza la direcci�n IP del usuario para cargar en segundo plano varias p�ginas web de sitios conocidos".

"Esto se hace de una manera que nunca interrumpe al usuario y cumple plenamente con GDPR/CCPA. Las p�ginas web se env�an luego a las empresas, que las utilizan para mejorar sus bases de datos, ofreciendo mejores productos, servicios y precios."

Estas apps modificadas -llamadas mods- se distribuyen despu�s dentro y fuera de Google Play Store. LumiApps se promociona a s� misma y al SDK como un m�todo de monetizaci�n de apps alternativo a la reproducci�n de anuncios.

Hay pruebas que indican que la amenaza detr�s de PROXYLIB est� vendiendo acceso a la red proxy creada por los dispositivos infectados a trav�s de LumiApps y Asocks, una empresa que se anuncia como vendedora de proxies residenciales.

Es m�s, en un esfuerzo por integrar el SDK en tantas aplicaciones como sea posible y ampliar el tama�o de la red de bots, LumiApps ofrece recompensas en efectivo a los desarrolladores en funci�n de la cantidad de tr�fico que se enruta a trav�s de los dispositivos de los usuarios que han instalado sus aplicaciones. El servicio SDK tambi�n se anuncia en redes sociales y foros de black hat.

Una investigaci�n reciente publicada por Orange Cyberdefense y Sekoia caracterizaba los proxies residenciales como parte de un "ecosistema fragmentado pero interconectado", en el que los servicios de proxyware se anuncian de diversas formas, desde contribuciones voluntarias hasta tiendas dedicadas y canales de reventa.

"[En el caso de los SDK], el proxyware suele estar incrustado en un producto o servicio", se�alaron las empresas. Los usuarios pueden no darse cuenta de que el proxyware se instalar� al aceptar las condiciones de uso de la aplicaci�n principal en la que est� integrado. Esta falta de transparencia hace que los usuarios compartan su conexi�n a Internet sin entenderlo claramente".

El desarrollo se produce cuando los laboratorios Lumen Black Lotus Labs revelaron que los routers para peque�os hogares/peque�as oficinas (SOHO) al final de su vida �til (EoL) y los dispositivos IoT est�n siendo comprometidos por una botnet conocida como TheMoon para alimentar un servicio proxy criminal llamado Faceless.

Fuente: thehackernews