安全研究人员将流行的Swing VPN Android应用程序识别为DDoS僵尸网络

Swing VPN应用程序在官方Google Play商店中以Swing VPN – Fast VPN Proxy的名义提供，下载量超过500万次。Swing VPN应用程序可在Android和iOS设备上使用；然而，只有Android版本被研究人员识别为DDoS僵尸网络。

Swing VPN是Limestone Software Solutions为Android和iOS系统开发的合法VPN应用程序。然而，根据研究人员Lecromee的说法，该应用程序的Android版本是一个DDoS僵尸网络，据称具有恶意，因为它可以进行分布式拒绝服务攻击（DDoS攻击）。

这一切都始于Lecromee的朋友告诉他在他的手机上观察到一个不寻常的请求模式。电话每10秒不断向特定网站发送请求。据称，该应用程序使用不同的策略来隐藏其恶意行为，以防止攻击被发现。

最初，Lecromee将此问题归咎于恶意软件或病毒。然而，进一步调查显示，所有请求都是从他朋友安装在他手机上的Swing VPN应用程序发送的。这些请求被发送到Lecromee的朋友从未访问或访问过的同一站点，这让研究人员对该应用程序产生了怀疑。

为了进一步调查，Lecromee安装了Pcapdroid应用程序来检查他的终端的日志通信并检查Swing VPN的操作。此时，Lecromee不确定Swing应用程序是否有恶意议程。他观察到Swing VPN应用程序向站点发送了一些请求。

为了确定应用程序的实际意图，他使用mitmproxy来捕获发送的数据。他发现该应用程序在安装、选择语言并接受隐私政策后立即计算出真实的IP地址。然后它向Bing和Google发送一个请求，询问“我的IP是什么？” Lecromee还了解到，该应用程序解析返回的HTML并从响应中识别IP，主要是为了找到要上传的配置文件。

在确定其所需的配置类型后，该应用程序将请求发送到存储在开发人员的个人Google Drive帐户中的两个不同的配置文件。这些文件是从特定的个人服务器、多个GitHub存储库或Google Drive帐户请求的。该应用程序通过连接到广告网络以加载广告并最终将数据存储在本地缓存中来结束其初始化过程，然后再继续访问DDoS站点。

这是Swing VPN发送请求的页面。该网站由土库曼斯坦航空公司(turkmenistanairlines.tm) 管理。

令研究人员感到惊讶的是，请求负载包含特定数据，并且请求的端点还通过每10秒发送一个请求来提取站点的许多资源。

“由于航班搜索是一项相当密集的任务，需要大量数据库和服务器资源，很明显，目标是让服务器资源不足，这样普通用户就无法在需要时访问它，”Lecromee在一篇技术博客文章中说。

截至2023年6月，该应用程序在Android上的安装量超过500万，将其除以10可得出500k RPS的潜力。这对DDoSing来说令人印象深刻。Lecromee批评谷歌的安全系统薄弱，允许恶意应用程序利用毫无戒心的用户设备。

然而，目前无法证实这一说法。我们将很快拥有有关Swing应用程序的最新信息。

原文始发于微信公众号（郑州网络安全）：安全研究人员将流行的Swing VPN Android应用程序识别为DDoS僵尸网络