Redazione RHC : 27 Marzo 2024 11:20
Gli specialisti di HUMAN Security hanno scoperto più di 15 applicazioni VPN gratuite nel Google Play Store ufficiale che utilizzavano un SDK dannoso. Di conseguenza, i dispositivi Android degli utenti si sono trasformati in proxy residenziali, che molto probabilmente sono stati venduti a criminali informatici e bot commerciali.
In totale, i ricercatori hanno trovato 28 applicazioni dannose che trasformavano segretamente i dispositivi in proxy. 17 di loro erano camuffati da VPN gratuite. Tutte queste applicazioni sono accomunate dall’SDK di LumiApps, che contiene Proxylib, una libreria scritta in Go per il proxy.
La prima app dell’operatore Proxylib è stata scoperta nel maggio 2023, era un’app VPN gratuita per Android chiamata Oko VPN. Successivamente, i ricercatori hanno scoperto che la stessa libreria viene utilizzata nel servizio di monetizzazione delle applicazioni Android di LumiApps.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“Alla fine di maggio 2023, i nostri specialisti hanno notato attività sui forum di hacker e nuove applicazioni VPN che facevano riferimento all’SDK di monetizzazione lumiapps[.]io. Dopo ulteriori indagini, il team ha stabilito che questo SDK ha esattamente le stesse funzionalità e utilizza la stessa infrastruttura server delle applicazioni dannose che avevamo precedentemente studiato nell’ambito della ricerca Proxylib”, affermano gli esperti.
A seguito dell’indagine sono state subito individuate 28 applicazioni che sfruttano la libreria Proxylib per trasformare i dispositivi Android in proxy.
L’elenco può essere visualizzato di seguito.
LumiApps è una piattaforma di monetizzazione di app Android che afferma che il suo SDK utilizza gli indirizzi IP del dispositivo per caricare pagine Web in background e inviare i dati risultanti alle aziende.
“Lumiapps aiuta le aziende a raccogliere informazioni pubblicamente disponibili su Internet utilizzando gli indirizzi IP degli utenti per scaricare in background più pagine Web da siti noti”, afferma il sito Web di LumiApps. — Ciò avviene in modo da non interrompere l’esperienza dell’utente e da essere pienamente conforme al GDPR/CCPA. Le pagine web vengono poi condivise con le aziende che le utilizzano per migliorare i propri database offrendo prodotti, servizi e prezzi migliori”.
Non è chiaro se gli sviluppatori delle app gratuite fossero consapevoli del fatto che l’SDK in questione trasforma i dispositivi dei loro utenti in proxy, che possono poi essere utilizzati per una serie di attività indesiderate. Secondo gli analisti le applicazioni dannose appartengono al provider russo di proxy residenziali Asocks, spesso pubblicizzato nei forum underground.
Il rapporto rileva che nel gennaio 2024 LumiApps ha rilasciato la seconda versione del suo SDK, che includeva Proxylib v2. Secondo l’azienda, questa versione ha risolto “problemi di integrazione” e ora supporta i progetti Java, Kotlin e Unity.
In seguito alla pubblicazione del rapporto sulla sicurezza HUMAN, Google ha rimosso tutte le app che utilizzavano l’SDK LumiApps dal Play Store e, nel febbraio 2024, la società ha aggiornato Google Play Protect per abilitare la protezione per rilevare le librerie LumiApp nelle app.
È interessante notare che molte delle app sopra elencate sono già nuovamente disponibili sul Play Store. A quanto pare, i loro sviluppatori si sono sbarazzati dell’SDK dannoso. Allo stesso tempo, alcune applicazioni vengono pubblicate per conto di altri account sviluppatore, il che potrebbe indicare che i vecchi account sono stati bannati.
RedazioneIl 15 ottobre 2025 segna un anniversario di eccezionale rilievo nella storia della sicurezza nazionale italiana: cento anni dalla nascita del Servizio Informazioni Militare (SIM), primo servizio di in...
Un nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
