L'essor des applications VPN gratuites pour Android a apporté avec lui de nouvelles menaces de cybersécurité. Parmi les plus dangereuses figure PROXYLIB, un bibliothèque malveillante Ce virus a infecté des dizaines d'applications du Google Play Store, transformant les smartphones en serveurs proxy résidentiels sans consentement. Quelles sont les conséquences pour les utilisateurs ? Risque réel de fuite de données personnelles et bancaires, de perte de compte, d'utilisation illégale de vos ressources et d'éventuels crimes commis à partir de votre IP.. Découvrir quelles applications vous devez supprimer immédiatement, comment identifier les risques et pourquoi la vigilance est plus importante que jamais lors du téléchargement d'applications sur votre mobile.
Qu'est-ce que PROXYLIB et comment fonctionne-t-il dans les applications VPN frauduleuses ?
PROXYLIB est un bibliothèque malveillante intégrés dans des applications qui semblent légitimes, en particulier dans services VPN gratuits et des applications associées (lanceurs, claviers, utilitaires, etc.). Sa fonction principale est de transformer les appareils Android en nœuds proxy résidentiels afin que les cybercriminels puissent utiliser votre connexion Internet pour masquer des activités frauduleuses et criminelles.
Fonctionnement:
- L'application infectée installe la bibliothèque « libgojni.so » (développée en Golang) de manière cachée.
- À l'insu de l'utilisateur, l'appareil s'enregistre auprès d'un réseau de contrôle (C2) où il reçoit des commandes externes pour acheminer le trafic étranger.
- El les logiciels malveillants consomment de la bande passante, les ressources mobiles et la batterie, et peuvent provoquer une lenteur, une surchauffe ou une utilisation excessive des données.
- Toute cette activité reste cachée, camouflée par des autorisations et des services d’arrière-plan qui passent inaperçus.
- Accès proxy vendu à des tiers (autres groupes de cybercriminels), qui utilisent votre adresse IP pour mener des attaques, des fraudes en ligne, du spam, du vol d'identité, etc.
Dans de nombreux cas, les développeurs d'applications concernées ont intégré PROXYLIB, attirés par des promesses de monétisation : le SDK LumiApps offrait des « revenus de trafic » en échange de l'installation du code malveillant, sans que l'utilisateur en soit conscient ou ne reçoive d'avertissement fiable.
Pourquoi cette menace est-elle si dangereuse ? Risques pour l'utilisateur
L'infection à PROXYLIB n'est pas immédiatement visible et ne provoque pas de symptômes alarmants, mais son les conséquences peuvent être très graves:
- Perte d'intimité: Votre connexion Internet devient un vecteur d'activités illégales ou suspectes. L'usurpation d'adresse IP peut affecter votre appareil à votre insu.
- Fuite de données personnelles, bancaires et de mots de passe : Bon nombre de ces applications collectent des informations sur le réseau, le trafic de données, les connexions, l’historique de navigation et les identifiants, qui finissent entre les mains de cybercriminels ou sont vendus sur des marchés clandestins.
- Participation involontaire à des cybercrimes : Les attaquants peuvent utiliser votre réseau pour Fraude bancaire, attaques DDoS, escroqueries en ligne et blanchiment d'argent à grande échelle, mettant en péril votre réputation et votre sécurité juridique.
- Consommation injustifiée des ressources : L'utilisation d'un nœud proxy augmente le trafic de données, provoque une décharge rapide de la batterie et ralentit le fonctionnement normal du mobile.
- Compromettre la sécurité de l'appareil : Les applications affectées ouvrent des portes dérobées qui peuvent être exploitées par d’autres logiciels malveillants, augmentant ainsi les risques de réinfection ou de vol de données supplémentaire.
Comment l'arnaque a été découverte : l'enquête de HUMAN Threat Intelligence
L'opération a été identifiée et documentée par l'équipe Satori Threat Intelligence de HUMAN Security, qui a été la première à détecter le comportement suspect dans Ok VPN, un VPN gratuit disponible sur Google Play. Après une analyse approfondie, l'existence d'un campagne malveillante à portée mondiale basé sur la bibliothèque PROXYLIB et le SDK LumiApps, affectant plusieurs applications (principalement VPN, mais aussi lanceurs, claviers et applications utilitaires).
La recherche a montré :
- Le réseau de nœuds proxy créé par les applications infectées était proposé commercialement sur des plateformes telles qu'Asocks, permettant à des tiers d'opérer à partir des adresses IP d'utilisateurs réels.
- Plus de 100 000 personnes ont été identifiées. 150.000 XNUMX combinaisons d'adresses IP et de ports, bien que l’infrastructure réelle soit basée sur des milliers de victimes exposées à travers le monde.
- Le kit LumiApps permettait de modifier les APK (applications Android installables) sans accéder au code source d'origine, facilitant ainsi la prolifération de logiciels malveillants dans les versions « modifiées » d'applications populaires.
- Google a supprimé de nombreuses applications concernées du Play Store après avoir reçu le rapport, mais certaines ont réussi à revenir sous des noms de développeurs différents ou continuent de circuler dans des magasins tiers.
La facilité avec laquelle les développeurs pouvaient monétiser le trafic des utilisateurs rendait cette attaque particulièrement lucrative et dangereuse, car L’incitation économique a facilité son expansion rapide.
Liste mise à jour des applications VPN infectées par PROXYLIB et d'autres applications malveillantes
Si vous avez l’une de ces applications installées sur votre appareil Android, vous devez le désinstaller immédiatement, effacez toutes vos données et utilisez un antivirus fiable. Découvrez comment les supprimer.
- 12 Android Launcher
- 13 Android Launcher
- 14 Android Launcher
- Clavier animé
- Foulée flamboyante
- VPN lame d'octets
- Flux CaptainDroid
- VPN rapide
- VPN Rapide Fox
- VPN en ligne rapide
- Vieux films classiques gratuits
- Animation drôle de Char Ging
- Bords de limousine
- VPN léger
- Ok VPN
- Lanceur d'application téléphonique
- Comparaison de téléphone
- VPN à flux rapide
- Exécuter le VPN
- Exemple de VPN
- Tonnerre sécurisé
- Brillez en toute sécurité
- Surf de vitesse
- Bouclier rapide
- Turbo Track VPN
- VPN TurboTunnel
- VPN Ultra
- VPN Flash Jaune
D'autres VPN frauduleux très dangereux détectés
De plus, des sociétés de cybersécurité telles que Kaspersky ont mis en garde contre d'autres VPN frauduleux associés au botnet 911 S5 et à des réseaux proxy illégitimes, tels que ou .
Ces applications ont compromis des millions d’appareils et permis des fraudes et des cybercrimes d’envergure internationale.
Comment savoir si mon téléphone est infecté ? Symptômes et méthodes de détection
Le malware PROXYLIB est très difficile à détecter manuellement, car il opère en arrière-plan et masque son activité. Cependant, certains signes peuvent vous alerter :
- Utilisation inattendue des données mobiles même sans utilisation intensive de l'appareil.
- Réduction drastique de la durée de vie de la batterie et la surchauffe du mobile.
- Lenteurs ou blocages inattendu, surtout après l'installation de nouvelles applications.
- Notifications antivirus étranges ou des alertes Google Play Protect indiquant des applications nuisibles.
- Apparence des applications installées dont vous ne vous souvenez pas avoir téléchargé ou des permis suspects accordés.
Pour vérifier si vous avez des applications dangereuses, utilisez des applications de gestion d'applications comme Vérificateur d'application ou consultez la liste ci-dessus directement dans vos applications installées.
Si vous avez des soupçons, passer immédiatement un scan avec un antivirus reconnu (comme Avast Mobile Security, Kaspersky Mobile ou similaire) et supprimez les applications dangereuses.
Pourquoi les VPN gratuits frauduleux sont-ils si répandus sur Google Play et d’autres magasins ?
El Croissance exponentielle de la demande de VPN gratuits Elle a été exploitée par des cybercriminels pour déguiser des logiciels malveillants en services de confidentialité et de sécurité. De nombreux utilisateurs croient qu'une application est sûre simplement parce qu'elle apparaît sur Google Play ou parce qu'elle propose « chiffrement et anonymat ».
Facteurs favorisant sa propagation :
- La facilité avec laquelle les développeurs peuvent intégrer les SDK de monétisation sans examen approfondi.
- L’idée fausse selon laquelle les applications gratuites ne présentent aucun risque.
- Politiques d'évaluation insuffisantes dans certains magasins officiels et, en particulier, dans les référentiels alternatifs.
- Apparition de versions « modifiées » (MOD) d'applications populaires qui intègrent des logiciels malveillants sans le consentement de l'auteur d'origine.
- Motivations économiques, car les développeurs reçoivent de l'argent pour chaque mégaoctet de trafic redirigé depuis les téléphones infectés.
Même après la suppression de nombreuses applications du Play Store, Ils continuent de circuler dans les magasins alternatifs et peut être republié sous d'autres développeurs, donc la menace demeure.
Botnets et réseaux proxy malveillants : comment les cybercriminels profitent de vos dépens
L’émergence de PROXYLIB et des applications VPN frauduleuses est liée à la montée en puissance de botnets internationaux Comme le 911 S5. Ces vastes réseaux d'appareils infectés permettent aux cybercriminels de « louer » l'accès à des milliers de connexions résidentielles légitimes, facilitant ainsi toutes sortes de crimes :
- Fraude bancaire, vol d’identité et escroqueries en ligne.
- Blanchiment d'argent et le blanchiment d’argent en utilisant les adresses IP des utilisateurs ordinaires.
- Attaques DDoS (saturation des serveurs) aux entreprises ou organismes publics.
- Campagnes de phishing et de spam de masse difficile à suivre en raison de la multiplicité des IP impliquées.
On estime que Des millions d’appareils ont été pris en charge par ces botnets dans le monde entier, compromettant la confidentialité, l’intégrité et la sécurité de ses propriétaires sans que beaucoup ne le découvrent jamais.
Mesures de protection : comment éviter les applications VPN frauduleuses et supprimer le logiciel malveillant Proxylib
Pour réduire le risque d'infection et supprimer les logiciels malveillants si nécessaire, suivez ces recommandations de base:
- Téléchargez des applications uniquement à partir de sources officielles et réputées comme Google Play (vérifiez toujours les autorisations, les avis et l'origine).
- Évitez d’installer des VPN gratuits ou des applications peu connues avec de nombreux téléchargements mais des développeurs inconnus.
- :Recherchez des avis d'experts, des notes récentes et des alertes de sécurité.
- Utilisez un antivirus mis à jour sur votre mobile, à la fois pour détecter les menaces et pour supprimer les applications dangereuses ou modifier les paramètres suspects.
- Vérifiez régulièrement les autorisations des applications et méfiez-vous des applications qui demandent un accès excessif ou qui se comportent de manière inhabituelle.
- Désinstallez immédiatement toutes les applications figurant sur la liste noire comme ceux que nous vous montrons et supprimons toutes les données associées avant de passer une analyse de sécurité.
- Définissez des mots de passe forts, activez l’authentification en deux étapes chaque fois que possible et soyez attentif aux messages étranges.
Au moindre soupçon de comportement malveillant, Éteignez votre appareil, désinstallez les applications dangereuses et contactez le support technique spécialisé. si vous pensez que vos données personnelles, bancaires ou d'accès ont été exposées.
Les VPN gratuits sont-ils fiables ? Pourquoi est-il préférable d'opter pour des services payants ?
L’attrait des VPN gratuits est indéniable : ils promettent l’anonymat, le déblocage de contenu et la confidentialité sans frais… mais En matière de sécurité, ce qui est bon marché est généralement cherLes VPN payants doivent répondre à des contrôles de qualité stricts, ne pas monétiser votre trafic ni vendre vos données, et offrir un support technique et une fiabilité.
Les VPN gratuits, à l'exception des entreprises bien connues qui limitent l'utilisation dans leur version gratuite, peuvent cacher des modèles commerciaux opaques, allant de l'affichage de publicités agressives à Transformez votre téléphone en réseau proxy à votre insu (comme dans les cas de PROXYLIB et 911 S5).
Que devez-vous rechercher dans un VPN fiable ?
- Fournisseur reconnu avec de bonnes critiques et une politique de confidentialité claire.
- Liste blanche sur les portails de cybersécurité et absence de rapports d'applications dangereuses.
- Transparence sur l'utilisation des données et politique de zero-logging (pas de logs).
- Options de support technique et mises à jour régulières.
Rappelez-vous: Si vous ne payez pas pour le produit, vous êtes probablement le produit.Dans le cas des VPN, le risque de « donner » vos ressources et votre vie privée peut avoir des conséquences catastrophiques.
