HUMANは3月26日(米国時間)、「Satori Threat Intelligence Alert: PROXYLIB and LumiApps Transform Mobile Devices into Proxy Nodes」において、Google公式ストアから配布された28のVPNアプリがバックグラウンドでプロキシサーバとして動作しているとして、詳細を伝えた。これらVPNアプリはHUMANの報告を受けて公式ストアから全て削除されている。

Satori Threat Intelligence Alert: PROXYLIB and LumiApps Transform Mobile Devices into Proxy Nodes

○悪意のある「PROXYLIB」とは

HUMANは発見したプロキシサーバ機能を、各アプリが使用しているライブラリにちなんで「PROXYLIB」と名付けている。HUMANによると、PROXYLIBは無断かつ自動的にデバイスをプロキシネットワークに登録し、外部からの通信の中継点として機能するという。また、プロキシネットワークとの通信を確立すると、通信の永続性を確保する機能も持つとされる。

PROXYLIBはプロキシネットワークの登録先として、ロシアのプロキシサービスプロバイダー「Asocks」を使用する。Asocksはハッキングフォーラムにてサイバー犯罪者向けに宣伝されることがあり、これらVPNアプリを使用すると通信帯域を無断でサイバー犯罪に悪用される可能性がある。

PROXYLIBの動作イメージ図 引用:HUMAN

○影響と対策

HUMANの調査によると、PROXYLIBは通信帯域をAsocksに販売することで利益を得ている可能性があるとのこと。また、この機能を容易にアプリに組み込めるように、「LumiApps」から悪意のあるソフトウェア開発キット(SDK: Software Development Kit)が配布されているとして、開発者に注意を呼びかけている。

PROXYLIB機能を内蔵したSDKを配布するLumiAppsのWebページ 引用:HUMAN

HUMANによって発見された悪意のあるVPNアプリは次のとおり。

app.litevpn.android

com.anims.keyboard

com.blazestride

com.bytebladevpn

com.captaindroid.android12.launcher

com.captaindroid.android13.launcher

com.captaindroid.android14.launcher

com.captaindroid.feeds

com.captaindroid.free.old.classic.movies

com.captaindroid.phone.comparison

com.fastflyvpn

com.fastfoxvpn

com.fastlinevpn.android

com.funnychar.ginganimation

com.limo.edges

com.okovpn.app

com.phone_app.launcher

com.quickflowvpn

com.samplevpn

com.securethunder

com.shinesecure

com.speedsurf

com.swiftshield.android

com.turbotrackvpn

com.turbotunnelvpn

com.yellowflashvpn

io.vpnultra

run.vpn

これらアプリを使用している場合、速やかに使用を中断して削除することが推奨されている。また、これら無料アプリは他人のリソースを消費して利益を得ようとするため、有料かつ妥当な料金体系のVPNアプリを使用することで攻撃を回避できる可能性がある。