本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
威胁情报研究人员在名为PROXYLIB的活动中发现VPN应用程序在用户不知情的情况下将用户的设备变成了网络犯罪分子的工具。
网络犯罪分子通过其他人的设备(称为代理)发送流量,他们能够使用其他人的资源来完成工作,掩盖了攻击的根源,致使被阻止的可能性较小,并且如果他们的代理之一被阻止,他们仍然可以继续操作。
代理网络地下市场的存在就是为网络犯罪分子提供灵活的、可扩展的平台,从该平台发起广告欺诈、密码喷射和撞库攻击等活动。
研究人员在Google Play上发现了28个应用程序,这些应用程序将Android设备变成犯罪分子的代理。其中17个应用程序是免费VPN。目前,所有这些内容均已从Google Play中删除。
此外,研究人员还在第三方存储库中发现了数百个应用程序,这些应用程序似乎使用LumiApps工具包,这是一个可用于加载PROXYLIB的软件开发工具包(SDK)。他们还将PROXYLIB与另一个专门出售代理节点访问权限的平台(称为Asocks)绑定在一起。
保护与清除
Android用户现在可以通过Google Play Protect自动保护免受PROXYLIB攻击,该功能在具有Google Play服务的Android设备上默认处于启用状态。
可以使用移动设备的卸载功能卸载受影响的应用程序。然而,此类应用程序将来可能会以不同的名称出现,用户仍需警惕。
远离PROXYLIB的建议
·不要安装来自第三方网站的应用程序。
·不要安装免费VPN。
·使用适用于Android的Malwarebytes。
PROXYLIB等新型攻击的受害者可能会流量缓慢,因为他们的带宽已被用于其他目的,并且他们的IP地址可能会被网站和其他服务屏蔽。
有研究人员列出了他们发现的应用程序列表,如果用户在从Google Play删除之前安装了列表中的任何应用程序,则需要将其卸载。