Play Store: Bösartige Apps machen Android-Smartphones zu Proxy-Knoten

In Googles Play Store tummelten sich 28 Apps, die ohne Wissen der Besitzer Smartphones in Endpunkte respektive Knoten eines Proxy-Netzwerks für Cyberkriminelle verwandelten. Die IT-Forscher von Human haben unter anderem VPN-Apps entdeckt, die sie der Kampagne zuordnen, die sie Proxylib getauft haben.

In einem Blog-Beitrag erläutern Humans IT-Sicherheitsforscher, dass derartige Proxys bei Privatnutzern von bösartigen Akteuren häufig genutzt würden, um ihre kriminellen Machenschaften zu verbergen. Dazu zählen etwa Werbebetrug oder der Einsatz von Bots. Zugang zu solchen Proxy-Netzen kaufen sie oftmals von anderen Cyberkriminellen, die wiederum Proxys durch das Verteilen von in Apps für Smartphones oder Desktop-Anwendungen eingebettete Malware kreierten.

Proxylib- und Lumiapps-SDK-Malware im Playstore

Insgesamt haben die Forscher 28 Apps in Googles Play Store aufgespürt, bei denen es sich vorgeblich um VPN-Software handele. Bereits im Mai 2023 fiel die Software "Oko VPN" als bösartig auf, woraufhin sie aus Googles Play Store entfernt wurde. Die 28 Anwendungen nutzen eine Golang-Bibliothek, die in jeder der Apps für die Bereitstellung des Proxy-Knotens verantwortlich zeichnet, deren Name Proxylib die Analysten für die Malware verwenden.

Folgeversionen von Proxylib wurden in dem Lumiapps SDK eingebaut, das App-Entwickler einfach in ihre Anwendungen integrieren können. Ein Anbieter solcher Privatanwender-Proxys namens Asocks sei demnach mit der Malware verbunden. Die kriminellen Drahtzieher hinter Proxylib versuchen offenbar, darüber ihr Proxylib-Netzwerk zu monetarisieren.

Die IT-Forscher zählen noch weitere Nutzungsmöglichkeiten solcher Porxy-Netzwerke für bösartige Akteure auf: Passwort-Spraying, großflächiger Werbebetrug oder Credential Stuffing lassen sich dadurch ausführen. Das verschleiert den Netzwerkverkehr, da die IP-Adressen von unverdächtigen Privatanschlüssen anstatt etwa aus einem Rechenzentrum stammen. In der Analyse gehen die IT-SIcherheitsforscher noch detaillierter auf die Funktionsweise der Malware ein.

Lesen Sie auch

Android-Trojaner soll auch iPhone befallen können, klaut Fotos und Bankinfos

Die Liste der Apps, die aus dem Play Store entfernt wurden:

• app.litevpn.android
• com.anims.keyboard
• com.blazestride
• com.bytebladevpn
• com.captaindroid.android12.launcher
• com.captaindroid.android13.launcher
• com.captaindroid.android14.launcher
• com.captaindroid.feeds
• com.captaindroid.free.old.classic.movies
• com.captaindroid.phone.comparison
• com.fastflyvpn
• com.fastfoxvpn
• com.fastlinevpn.android
• com.funnychar.ginganimation
• com.limo.edges
• com.okovpn.app
• com.phone_app.launcher
• com.quickflowvpn
• com.samplevpn
• com.securethunder
• com.shinesecure
• com.speedsurf
• com.swiftshield.android
• com.turbotrackvpn
• com.turbotunnelvpn
• com.yellowflashvpn
• io.vpnultra
• run.vpn

Wer eine dieser Apps noch auf seinem Smartphone hat, möglicherweise aus anderen Quellen, sollte sie manuell entfernen. Google spüre sie aber inzwischen auch mit dem Play-Protect-Mechanismus auf, um sie zu entfernen. Nutzer sollten daher sicherstellen, dass ihr Android-Handy davon überprüft wird.

(dmk)