HUMANは3月26日(米国時間)、「Satori Threat Intelligence Alert: PROXYLIB and LumiApps Transform Mobile Devices into Proxy Nodes」において、Google公式ストアから配布された28のVPNアプリがバックグラウンドでプロキシサーバとして動作しているとして、詳細を伝えた。これらVPNアプリはHUMANの報告を受けて公式ストアから全て削除されている。

  • Satori Threat Intelligence Alert: PROXYLIB and LumiApps Transform Mobile Devices into Proxy Nodes

    Satori Threat Intelligence Alert: PROXYLIB and LumiApps Transform Mobile Devices into Proxy Nodes

悪意のある「PROXYLIB」とは

HUMANは発見したプロキシサーバ機能を、各アプリが使用しているライブラリにちなんで「PROXYLIB」と名付けている。HUMANによると、PROXYLIBは無断かつ自動的にデバイスをプロキシネットワークに登録し、外部からの通信の中継点として機能するという。また、プロキシネットワークとの通信を確立すると、通信の永続性を確保する機能も持つとされる。

PROXYLIBはプロキシネットワークの登録先として、ロシアのプロキシサービスプロバイダー「Asocks」を使用する。Asocksはハッキングフォーラムにてサイバー犯罪者向けに宣伝されることがあり、これらVPNアプリを使用すると通信帯域を無断でサイバー犯罪に悪用される可能性がある。

  • PROXYLIBの動作イメージ図 - 引用:HUMAN

    PROXYLIBの動作イメージ図 引用:HUMAN

影響と対策

HUMANの調査によると、PROXYLIBは通信帯域をAsocksに販売することで利益を得ている可能性があるとのこと。また、この機能を容易にアプリに組み込めるように、「LumiApps」から悪意のあるソフトウェア開発キット(SDK: Software Development Kit)が配布されているとして、開発者に注意を呼びかけている。

  • PROXYLIB機能を内蔵したSDKを配布するLumiAppsのWebページ - 引用:HUMAN

    PROXYLIB機能を内蔵したSDKを配布するLumiAppsのWebページ 引用:HUMAN

HUMANによって発見された悪意のあるVPNアプリは次のとおり。

  • app.litevpn.android
  • com.anims.keyboard
  • com.blazestride
  • com.bytebladevpn
  • com.captaindroid.android12.launcher
  • com.captaindroid.android13.launcher
  • com.captaindroid.android14.launcher
  • com.captaindroid.feeds
  • com.captaindroid.free.old.classic.movies
  • com.captaindroid.phone.comparison
  • com.fastflyvpn
  • com.fastfoxvpn
  • com.fastlinevpn.android
  • com.funnychar.ginganimation
  • com.limo.edges
  • com.okovpn.app
  • com.phone_app.launcher
  • com.quickflowvpn
  • com.samplevpn
  • com.securethunder
  • com.shinesecure
  • com.speedsurf
  • com.swiftshield.android
  • com.turbotrackvpn
  • com.turbotunnelvpn
  • com.yellowflashvpn
  • io.vpnultra
  • run.vpn

これらアプリを使用している場合、速やかに使用を中断して削除することが推奨されている。また、これら無料アプリは他人のリソースを消費して利益を得ようとするため、有料かつ妥当な料金体系のVPNアプリを使用することで攻撃を回避できる可能性がある。