Apps uit Google Play Store konden Android-toestellen aan proxynetwerk toevoegen

Securitybedrijf Human Threat Intelligence heeft ontdekt dat de Google Play Store onlangs 28 apps heeft geherbergd die in staat waren om Android-toestellen als proxynode aan een commercieel proxynetwerk toe te voegen. Google heeft de apps inmiddels verwijderd.

De onderzoekers schrijven dat er tussen de 28 Android-apps enkele gratis vpn-diensten zaten, zoals Oko VPN en Run VPN. Deze apps maakten gebruik van een library waarmee het toestel van een nietsvermoedende gebruiker als proxynode kon worden toegevoegd aan een proxynetwerk. Volgens de onderzoekers ging het in dit geval om het commerciële proxynetwerk van Asocks: een aanbieder van een residentieel proxynetwerk met naar eigen zeggen zeven miljoen ip-adressen. De onderzoekers ontdekten dat ontwikkelaars de libraries aanvankelijk zelf moesten inbouwen. Op een later moment ontdekte men echter dat er ook een sdk werd aangeboden waarmee codebases van Android-apps automatisch konden worden uitgebreid met vrijwel identieke libraries.

De apps zijn volgens de onderzoekers uit de Google Play Store verwijderd, maar een aantal applicaties zou inmiddels weer in de appwinkel te vinden zijn, zonder de libraries. De onderzoekers schrijven dat Android-gebruikers voortaan wel beschermd zijn tegen apps met dergelijke code en dat dankzij Google Play Protect. Dat is een tool waarmee Google Android-apps scant op mogelijke malware.

Reacties (22)

slijkie 27 maart 2024 18:51

Laten we even Apple vs Android gedoe achterwege laten;

Maar, ik heb op beiden een developer account en voeg aan beiden met enige regelmaat apps toe.

Apple: duurt lang en met met enige regelmaat een afwijzing om een terechte/onterechte reden.

Google: staat vaak bijna direct online en heb nog nooit (kan dus aan mij liggen) enige vorm van afwijzing gekregen voor de submits van apps.

Tuurlijk krijg je nu ook 3e partij appstores op beide platformen, ben reuze benieuwd hoe de Q&A van die apps zal zijn. Of dat dingen zoals vermeld in dit nieuwsitem eigenlijk gewoon nog makkelijker worden.

‘Time will tell’

langestefan @slijkie • 27 maart 2024 19:05

Dit is gewoon malware. Android / iOS zou je niet moeten toestaan om dit soort apps überhaupt te installeren, ook al kun je ze wel via 3e partijen binnenhalen. Dus het lijkt me eerder dat de malware scan in dit geval gefaalt heeft.

[Reactie gewijzigd door langestefan op 23 juli 2024 01:29]

holoduke51 @slijkie • 27 maart 2024 20:27

Wij publishen bijna elke week op beide platforms. Vaak zat een rejected app op Android.

ultimasnake @slijkie • 28 maart 2024 06:43

Hier weer andersom, Apple gaat snel en Android duurt lang. Wel een groot verschil bij een reject bij Apple kan je mailen met de tester(s) en krijg je een 1 op 1 gevoel, bij Google is het soms alsof je (en is denken we ook zo) tegen een geautomatiseerd script loopt aan te mailen en updates loopt uit te rollen tot deze net tevreden genoeg is

willieverhoef @slijkie • 27 maart 2024 22:08

Aangezien ook is bewezen dat apple store ook niet controleren in de code. Zie hiervoor de epic game met alternatief betaalmiddel. Maakt dat niet veel uit. Het plaatsen in de Android store is echter goedkoper en eenvoudiger.

beerse 27 maart 2024 18:57

Eigenlijk best wel creatief, een vpn netwerk aanbieden en dat je dan zelf meteen ook exit node bent voor dat netwerk. Tor werkt ook een beetje zo, al ben je daar niet automatisch een exit node.

Wel jammer dat je het van te voren niet weet, het wordt toch een aanslag op het netwerk waar je zelf op zit... Als je per (giga) bit betaald of dat ze meteen in je eigen wifi netwerk uit komen...

venomcs @beerse • 27 maart 2024 19:21

Dit ''concept'' is niet nieuw, Hola VPN doet dit al jaren.
https://en.wikipedia.org/wiki/Hola_(VPN)

Deze zooi staat gewoon nog in de App store, Samsung store en Huawei store, kennelijk niet meer in de Play Store.

lenwar

Google
Beveiliging en antivirus

@venomcs • 27 maart 2024 20:13

Het idee is ook niets mis mee.

Echter, in dit geval waren het echter geen VPN-apps.
Het waren apps waar deze functionaliteit ‘stiekem’ ingezet was.

Dus het had in een spelletje kunnen zitten en dat is je telefoon ineens een exitnode.

GertMenkel

Google
Google Android
Google play
Beveiliging en antivirus

@venomcs • 27 maart 2024 23:50

Ik denk dat het verschil is dat Hola er nog ietwat van een aanduiding voor geeft ergens, en deze apps een library hebben waar de functie heimelijk in is gestopt.

Zolang het maar duidelijk is wat de risico's zijn, heb ik niet eens zo'n enorm probleem met dit systeem, aannemende dat adressen in het lokale netwerk niet te bereiken zijn dan. Je maakt dan eigenlijk deel uit van een soort alternatief Tor, met minder privacyvoordelen maar meer exit nodes.

Aldy @GertMenkel • 28 maart 2024 16:18

Ik vraag mij af dat als ik bijvoorbeeld Hola heb geïnstalleerd, wat de volgende stap is. Vertelt iemand mij dat Hola dit heeft ingebouwd, raden ze aan om Hola te verwijderen of wordt die exit-node zonder dat ik het weet uit de app verwijderd? Of krijg ik er nooit iets over te horen?

arjan1995 27 maart 2024 21:21

Wat is precies een proxy netwerk? Ik ken alleen Tor, maar dat heeft een vrij duidelijk systeem met een client (of browser die dat heeft ingebouwd), relay nodes en exit nodes. Dit geheel stelt je dan in staat stelt om anoniem te browsen.

Wordt hier een soort VPN dienst bedoeld waarbij de mobieltjes (ongevraagd) als relay node dienden om het verkeer naar een server (of volgende node) door te sturen?

Edit: ook even op de site die in het artikel staat gekeken, maar het klinkt allemaal erg shady.
Waarom zou je (als bedrijf) in hemelsnaam een proxy willen gebruiken voor market research, e-commerce of social media? Je draait toch ergens een website of platform en je gebruikers verbinden daar naartoe?

[Reactie gewijzigd door arjan1995 op 23 juli 2024 01:29]

Snow_King

@arjan1995 • 28 maart 2024 07:11

Kijk eens naar bedrijven als https://asocks.com/ of https://soax.com/.

Ze bieden vaak SOCKS or HTTP proxies aan, hierdoor kan je met een automated systeem snel verzoeken over de hele wereld doen. Het lijkt alsof je vanaf een Comcast verbinding bij iemand thuis in de US komt of van een UPC verbinding in Praag uit een flat. Terwijl je via een proxy op die locatie komt.

Je kan dit gebruiken als VPN, maar het wordt vaak gebruikt voor webscrapers die zo webshops leeg willen trekken. Maar ook voor bots om bijv om bij veiliingen te bieden.

Het is een beetje een shady business als je het mij vraagt.

arjan1995 @Snow_King • 28 maart 2024 08:25

Bedankt, nu begrijp ik het beter. Het klinkt inderdaad erg shady, voor de scalpers enzo.
Zeker wanneer die Comcast of UPC verbinding bij iemand thuis zonder toestemming voor dit soort dingen wordt ingezet.

Giga 27 maart 2024 18:53

Nou, ik kan niet wachten tot de alternatieve en vrije AppStore’s op iOS een beetje gaan rollen. Nog even betalen voor een abonnementje via de website van de ontwikkelaar en u bent helemaal voorzien.

Robin94 @Giga • 27 maart 2024 19:02

Waarom precies denk je dat dit op ios niet zou kunnen gebeuren? Die paar minuten dat ze naar een app kijken halen ze dit er echt niet uit.

TheVivaldi @Robin94 • 27 maart 2024 19:08

Precies. Je kunt veel zeggen van Apples beleid, maar het is niet zo dat hun eigen app store 100% malwarevrij is.

venomcs @TheVivaldi • 27 maart 2024 19:16

Laatst was er nog een fake cryptowallet op de AppStore, het duurde 2 weken voordat Apple dit erafgooide en pas nadat media er aandacht aan had besteed.
https://www.bleepingcompu...tore-is-a-crypto-drainer/