Il malware PROXYLIB è stato recentemente al centro dell’attenzione dopo che un team di ricerca sulla sicurezza, noto come Satori Threat Intelligence, ha scoperto diverse applicazioni Android dannose sul Google Play Store. Queste app trasformavano segretamente i dispositivi mobili in nodi proxy per cyber criminali, all’insaputa degli utenti.
Il processo PROXYLIB
Le app in questione utilizzavano una libreria Golang, PROXYLIB per l’appunto, iscriveva il dispositivo dell’utente a una rete di proxy residenziali.
“I proxy residenziali sono reti di IP residenziali che instradano il traffico da un dispositivo attraverso un altro; possono essere utilizzati dagli autori delle minacce per nascondere attività dannose, tra cui password spraying , frodi pubblicitarie su larga scala o attacchi di credential stuffing. Quando un autore della minaccia utilizza un proxy residenziale, il traffico derivante da questi attacchi sembra provenire da diversi indirizzi IP residenziali anziché dall’IP di un data center o da altre parti dell’infrastruttura dell’autore della minaccia. Di conseguenza, l’origine del traffico viene offuscata.”, si legge nel rapporto.
Un aspetto notevole di queste app è che alcune di esse, identificate tra maggio e ottobre 2023, incorporavano un kit di sviluppo software (SDK) da LumiApps, che conteneva la funzionalità proxyware. Queste app modificate, distribuite sia dentro che fuori dal Google Play Store, venivano poi monetizzate vendendo l’accesso ad altri clienti.
Come proteggersi
Dopo la ricerca del team di Satori, Google ha rimosso 28 app dal suo store. Inoltre, gli utenti Android sono ora protetti automaticamente dall’attacco PROXYLIB grazie a Google Play Protect, che è attivo per impostazione predefinita sui dispositivi Android con i servizi Google Play.
Questo incidente sottolinea l’importanza della vigilanza nell’installare applicazioni e della necessità di protezioni di sicurezza robuste per difendersi dalle minacce informatiche emergenti.
