威胁情报研究人员在名为 PROXYLIB 的活动中发现 VPN 应用程序在用户不知情的情况下将用户的设备变成了网络犯罪分子的工具。

网络犯罪分子通过其他人的设备（称为代理）发送流量，他们能够使用其他人的资源来完成工作，掩盖了攻击的根源，致使被阻止的可能性较小，并且如果他们的代理之一被阻止，他们仍然可以继续操作。

代理网络地下市场的存在就是为网络犯罪分子提供灵活的、可扩展的平台，从该平台发起广告欺诈、密码喷射和撞库攻击等活动。

研究人员在 Google Play 上发现了 28 个应用程序，这些应用程序将 Android 设备变成犯罪分子的代理。其中 17 个应用程序是免费 VPN。目前，所有这些内容均已从 Google Play 中删除。

此外，研究人员还在第三方存储库中发现了数百个应用程序，这些应用程序似乎使用 LumiApps 工具包，这是一个可用于加载 PROXYLIB 的软件开发工具包 (SDK)。他们还将 PROXYLIB 与另一个专门出售代理节点访问权限的平台（称为 Asocks）绑定在一起。

保护与清除

Android 用户现在可以通过 Google Play Protect 自动保护免受 PROXYLIB 攻击，该功能在具有 Google Play 服务的 Android 设备上默认处于启用状态。

可以使用移动设备的卸载功能卸载受影响的应用程序。然而，此类应用程序将来可能会以不同的名称出现，用户仍需警惕。

远离 PROXYLIB 的建议

·不要安装来自第三方网站的应用程序。

·不要安装免费 VPN。

·使用适用于 Android 的 Malwarebytes。

PROXYLIB 等新型攻击的受害者可能会流量缓慢，因为他们的带宽已被用于其他目的，并且他们的 IP 地址可能会被网站和其他服务屏蔽。

有研究人员列出了他们发现的应用程序列表，如果用户在从 Google Play 删除之前安装了列表中的任何应用程序，则需要将其卸载。

参考及来源：https://www.malwarebytes.com/blog/news/2024/04/free-vpn-apps-turn-android-phones-into-criminal-proxies