Google Play中的梯子软件将手机变成恶意代理

天下没有免费的午餐！前些天在逛文章时候看到的一条消息，大概就是说Google Play中有不少的免费代理软件，会在毫不知情的情况下，将手机设备变成住宅代理，通过一些恶意工具包用作于一些犯罪活动、机器人。

住宅代理不同于我们平常使用的一些普通付费工具，一般都是像VPS这种自建搭梯子的，其ip属于“数据中心”这类，多用户使用这个ip段，从事一些其他活动，容易被一些网站等标记为恶意ip，也就导致容易封禁、无法使用。

而这种住宅代理更加稳定！是通过位于家中的设备为其他远程用户路由互联网流量的设备，使流量看起来合法且不太可能被阻止。

虽然它们在市场研究、广告验证和 SEO 方面具有合法用途，但许多网络犯罪分子使用它们来隐藏恶意活动，包括广告欺诈、垃圾邮件、网络钓鱼、撞库和密码喷洒。用户可以自愿注册代理服务以获得金钱或其他奖励作为回报，但其中一些代理服务采用不道德和阴暗的手段在人们的设备上秘密安装他们的代理工具。

秘密安装时，受害者将在不知情的情况下劫持其互联网带宽，并因被视为恶意活动的来源，说点不好听的，很可能面临法律纠纷。

网站源链接来源于：BLEEPINGCOMPUTER

上面提到来自 HUMAN 的 Satori 威胁情报团队发布的一份报告列出了 Google Play 上的 28 个应用程序，这些应用程序秘密地将 Android 设备变成了代理服务器。在这 28 个应用程序中，有17个被冒充为免费搭梯子软件。

Satori 分析师报告说，违规应用程序都使用了 LumiApps 的软件开发工具包（SDK），其中包含“Proxylib”，这是一个用于执行代理的 Golang 库。

去年5 月之时，HUMAN 发现了第一个 PROXYLIB 运营商应用程序，这是一款名为“Oko VPN”的免费 Android VPN 应用程序。研究人员后来发现了 LumiApps Android 应用程序使用的相同库文件。

2023 年 5 月下旬，Satori 研究人员观察到黑客论坛和新的搭梯子应用程序上的活动，这些应用程序引用了 SDK、lumiapps。

经过进一步调查，该团队确定此 SDK 具有完全相同的功能，并使用与作为对早期版本 PROXYLIB 调查的一部分而分析的恶意应用程序相同的服务器基础设施。随后的调查显示，一组 28 个应用程序利用 ProxyLib 库将 Android 设备转换为代理，如下所示：

详细名字我就不公布了，自行判断

LumiApps 是一个 Android 应用程序，它声称其 SDK 将使用设备的 IP 地址在后台加载网页并将检索到的数据发送给公司。

Lumiapps帮助公司收集在互联网上公开的信息。它使用用户的 IP 地址在后台从知名网站加载多个网页。

这是以一种永远不会打扰用户的方式完成的，并且完全符合GDPR / CCPA。然后，这些网页被发送给公司，公司使用它们来改进他们的数据库，提供更好的产品、服务和定价。

但是，目前尚不清楚免费应用程序开发人员是否知道SDK正在将用户的设备转换为可用于有害活动的代理服务器。

其官网显示截图：

LumiApps homepage

下图是HUMAN的分析图，有意思的是，指出的这些恶意程序与俄罗斯住宅代理服务提供商“Asocks”相关联。西方与俄罗斯的较量下，不知是否为恶意揣测~

Proxylib operational overview

2024 年 1 月，LumiApps 发布了其 SDK 的第二个主要版本以及 Proxylib v2。据该公司称，这解决了“集成问题”，现在它支持 Java、Kotlin 和 Unity 项目。

根据 HUMAN 的报告，Google 于 2024 年 2 月从 Play 商店中删除了使用 LumiApps SDK 的所有新应用和剩余应用，并更新了 Google Play 保护机制以检测应用中使用的 LumiApp 库。

Action timeline

同时，上面列出的许多应用程序现在都可以在 Google Play 商店中再次使用，大概是在他们的开发人员删除了有问题的 SDK 之后。它们有时会从不同的开发者帐户发布，可能表明之前的帐户被封禁。

网上查一查往年文章，能搜出来一大堆有关Google Play的恶意应用、内置木马、隐藏较深。

如果各位有使用了列出的应用之一，不说别的，出于谨慎考虑，将它们完全删除可能更安全。

最后，使用付费服务程序而不是免费服务可能更安全。