信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

威脅情報研究人員在名為PROXYLIB的活動中發(fā)現(xiàn)VPN應(yīng)用程序在用戶不知情的情況下將用戶的設(shè)備變成了網(wǎng)絡(luò)犯罪分子的工具。

網(wǎng)絡(luò)犯罪分子通過其他人的設(shè)備（稱為代理）發(fā)送流量，他們能夠使用其他人的資源來完成工作，掩蓋了攻擊的根源，致使被阻止的可能性較小，并且如果他們的代理之一被阻止，他們?nèi)匀豢梢岳^續(xù)操作。

代理網(wǎng)絡(luò)地下市場的存在就是為網(wǎng)絡(luò)犯罪分子提供靈活的、可擴展的平臺，從該平臺發(fā)起廣告欺詐、密碼噴射和撞庫攻擊等活動。

研究人員在Google Play上發(fā)現(xiàn)了28個應(yīng)用程序，這些應(yīng)用程序?qū)ndroid設(shè)備變成犯罪分子的代理。其中17個應(yīng)用程序是免費VPN。目前，所有這些內(nèi)容均已從Google Play中刪除。

此外，研究人員還在第三方存儲庫中發(fā)現(xiàn)了數(shù)百個應(yīng)用程序，這些應(yīng)用程序似乎使用LumiApps工具包，這是一個可用于加載PROXYLIB的軟件開發(fā)工具包(SDK)。他們還將PROXYLIB與另一個專門出售代理節(jié)點訪問權(quán)限的平臺（稱為Asocks）綁定在一起。

保護與清除

Android用戶現(xiàn)在可以通過Google Play Protect自動保護免受PROXYLIB攻擊，該功能在具有Google Play服務(wù)的Android設(shè)備上默認處于啟用狀態(tài)。

可以使用移動設(shè)備的卸載功能卸載受影響的應(yīng)用程序。然而，此類應(yīng)用程序?qū)砜赡軙圆煌拿Q出現(xiàn)，用戶仍需警惕。

遠離PROXYLIB的建議

·不要安裝來自第三方網(wǎng)站的應(yīng)用程序。

·不要安裝免費VPN。

·使用適用于Android的Malwarebytes。

PROXYLIB等新型攻擊的受害者可能會流量緩慢，因為他們的帶寬已被用于其他目的，并且他們的IP地址可能會被網(wǎng)站和其他服務(wù)屏蔽。

有研究人員列出了他們發(fā)現(xiàn)的應(yīng)用程序列表，如果用戶在從Google Play刪除之前安裝了列表中的任何應(yīng)用程序，則需要將其卸載。