Plus de 15 applications VPN gratuites sur Google Play utilisaient un SDK malveillant, transformant les appareils Android en proxys résidentiels.
Nous les utilisons de plus en plus lors de nos déplacements privés ou professionnels, ou pour nous protéger : les proxys résidentiels. Ces derniers sont utilisés légalement la plupart du temps, notamment pour les études de marché, la vérification des publicités et l'optimisation des moteurs de recherche.
Cependant, ils sont également un outil de choix pour de nombreux cybercriminels, qui peuvent les utiliser pour la fraude publicitaire, l'envoi de spam, le phishing ou le MFA bombing, comme celui que connaissent actuellement les utilisateurs d'Apple. Avec des proxys résidentiels, les cybercriminels peuvent masquer leur véritable identité et leur localisation, rendant leurs attaques encore plus difficiles à tracer et à stopper.
Pas moins de 17 applications VPN gratuites sont disponibles sur le Google Play Store, sur les 28 découvertes par des chercheurs contenant un SDK (un kit de développement d'application) infecté, et transforment les appareils de leurs utilisateurs en proxys, bien malgré eux. En effet, sans le savoir, et probablement attirés par la gratuité d'un VPN, les utilisateurs victimes, après avoir installé ces applications infectées, sont alors considérés comme coupables dans le cas de fraudes commises par les pirates.
ProxyLib, le SDK malveillant qui infecte les applis VPN gratuites
Les chercheurs de Human Security ont découvert que toutes les applications en question utilisaient un kit de développement logiciel (SDK) de LumiApps, qui contenait « ProxyLib », une bibliothèque golang pour effectuer le proxy.
En mai 2023, ils ont identifié la première application utilisant ProxyLib, un VPN Android gratuit appelé Oko VPN. Par la suite, les chercheurs ont trouvé la même bibliothèque utilisée par le service de monétisation des applications Android LumiApps, comme ils l'indiquent dans leur rapport : « À la fin du mois de mai 2023, l'équipe de Satori a remarqué une activité sur des forums de hackers et de nouvelles applications VPN faisant référence à un SDK de monétisation, lumiapps[.]io. »
Après une enquête poussée, il apparaît que ce SDK possède exactement les mêmes fonctionnalités et utilise la même infrastructure de serveur que les applications malveillantes analysées lors de l'enquête sur la version précédente de ProxyLib. LumiApps est utilisé légalement à des fins d'études publicitaires.
Ils ont pu ainsi répertorier un ensemble de 28 applications qui utilisaient la bibliothèque ProxyLib pour transformer les appareils Android en proxys :
- Lite VPN
- Anims Keyboard
- Blaze Stride
- Byte Blade VPN
- Android 12 Launcher (by CaptainDroid)
- Android 13 Launcher (by CaptainDroid)
- Android 14 Launcher (by CaptainDroid)
- CaptainDroid Feeds
- Free Old Classic Movies (by CaptainDroid)
- Phone Comparison (by CaptainDroid)
- Fast Fly VPN
- Fast Fox VPN
- Fast Line VPN
- Funny Char Ging Animation
- Limo Edges
- Oko VPN
- Phone App Launcher
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- Shine Secure
- Speed Surf
- Swift Shield VPN
- Turbo Track VPN
- Turbo Tunnel VPN
- Yellow Flash VPN
- VPN Ultra
- Run VPN
Toutefois, on ignore si les développeurs d'applications gratuites savaient que le SDK transformait les appareils de leurs utilisateurs en serveurs proxy susceptibles d'être utilisés pour des activités indésirables.
Les chercheurs pensent quant à eux que les applications malveillantes sont liées au fournisseur russe de services proxy résidentiels Asocks, après avoir observé les connexions effectuées sur le site web du fournisseur de proxy. Le service Asocks est souvent promu par les cybercriminels sur les forums de piratage.
Google à la manœuvre pour débarrasser le Play Store des applications infectées
En janvier 2024, LumiApps a publié la deuxième version majeure de son SDK ainsi que ProxyLib v2. Selon l'entreprise, cette version a permis de résoudre des problèmes d'intégration, et prend désormais en charge les projets Java, Kotlin et Unity. Peu après, et à la suite du rapport publié sur Human Security, Google a supprimé du Play Store, en février 2024, toutes les applications nouvelles et restantes utilisant le SDK de LumiApps. La firme a également mis à jour Google Play Protect pour détecter les bibliothèques LumiApp utilisées dans les applications.
Entre-temps, de nombreuses applications énumérées ci-dessus sont redevenues disponibles sur le Google Play Store, probablement après que leurs développeurs ont supprimé le SDK incriminé. Elles ont parfois été publiées à partir de différents comptes de développeurs, ce qui pourrait indiquer des interdictions de compte antérieures. En revanche, Google ne s'est pas encore exprimée sur fiabilité des applications à nouveau disponibles.
La prudence est donc de mise. Si vous avez utilisé l'une des applications répertoriées, la mise à jour vers la version la plus récente, qui n'utilise pas le SDK en question, mettra fin à l'activité de proxys. Toutefois, mieux vaut les supprimer complètement. Si l'application a été retirée de Google Play et qu'il n'existe pas de version sûre, il est recommandé de la désinstaller. Play Protect devrait également avertir les utilisateurs dans ce cas.
Enfin, il est probablement plus sûr d'utiliser des applications VPN payantes plutôt que des services gratuits, car de nombreux produits de cette dernière catégorie sont plus enclins à mettre en œuvre des systèmes de monétisation indirecte, y compris la collecte ou la vente de données, la publicité et l'inscription à des services de proxy. Clubic vous propose d'ailleurs son comparatif des meilleurs VPN.
29 octobre 2024 à 15h15
Sources : Human Security, BleepingComputer