研究人员在 Google Play 商店中发现了多个恶意 Android 应用程序，这些应用程序将运行安卓系统的移动设备转变为其他攻击者使用的住宅代理 (RESIP)
PROXYLIB 第一个变体的两个应用程序该调查结果来自 HUMAN 的 Satori 威胁情报团队，该团队表示，VPN 应用程序集群配备了一个 Golang 库，可以在用户不知情的情况下将用户的设备转变为代理节点（https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-proxylib-and-lumiapps-transform-mobile-devices-into-proxy-nodes）
该公司将该行动代号命名为PROXYLIB
此后，这 29 个有问题的应用程序已被 Google 删除
住宅代理是源自互联网服务提供商 (ISP) 提供的真实 IP 地址的代理服务器网络，通过中间服务器路由互联网流量，帮助用户隐藏其实际 IP 地址
抛开匿名性的好处不谈，攻击者滥用它们的时机已经成熟，不仅可以混淆其来源，还可以进行广泛的攻击
安全研究人员表示：“当攻击者使用住宅代理时，这些攻击的流量似乎来自不同的住宅 IP 地址，而不是数据中心的 IP 或黑客组织基础设施的其他部分
”“许多攻击者购买这些网络的访问权限以促进他们的行动
”其中一些网络可能是由恶意软件运营商创建的，他们诱骗毫无戒心的用户安装虚假应用程序，这些应用程序本质上将设备围入僵尸网络，然后通过向其他客户出售访问权限来获利
HUMAN 发现的 Android VPN 应用程序旨在与远程服务器建立联系，将受感染的设备注册到网络，并处理来自代理网络的任何请求
这些应用程序的另一个值得注意的方面是，2023 年 5 月至 10 月期间确定的其中一个子集包含了 LumiApps 的软件开发套件 (SDK)，其中包含代理软件功能
在这两种情况下，恶意功能都是使用本机 Golang 库来实现的
LumiApps 还提供一项服务，本质上允许用户上传他们选择的任何 APK 文件（包括合法应用程序），并将 SDK 捆绑到其中，而无需创建用户帐户，然后可以重新下载并与其他人共享
这家以色列公司在其网站上表示：“LumiApps 帮助公司收集互联网上公开的信息
” “它使用用户的 IP 地址在后台加载知名网站的多个网页
”“这样做的方式不会打扰用户，并且完全符合 GDPR/CCPA
然后将网页发送给公司，公司使用它们来改进数据库，提供更好的产品、服务和定价
”这些修改后的应用程序（称为 mods）在 Google Play 商店内外分发
LumiApps 将自身和 SDK 宣传为渲染广告的替代应用程序盈利方法
有证据表明，PROXYLIB 背后的黑客组织正在通过 LumiApps 和 Asocks 出售对受感染设备创建的代理网络的访问权限，Asocks 是一家自称为住宅代理卖家的公司
此外，为了将 SDK 融入到尽可能多的应用程序中并扩大僵尸网络的规模，LumiApps 根据通过已安装应用程序的用户设备路由的流量向开发人员提供现金奖励
SDK服务也在社交媒体和黑帽论坛上进行广告宣传
Orange Cyberdefense 和 Sekoia 最近发表的研究将住宅代理描述为“分散但相互关联的生态系统”的一部分，其中代理软件服务以各种方式进行广告，从自愿贡献到专门商店和转售渠道
“[就 SDK 而言]，代理软件通常嵌入在产品或服务中
”这些公司指出
用户可能没有注意到在接受嵌入的主应用程序的使用条款时将安装代理软件，这种缺乏透明度导致用户在没有明确了解的情况下共享他们的互联网连接
”安装了 LumiApps SDK 的一款应用程序Lumen Black Lotus Labs透露，报废 (EoL) 小型家庭/小型办公室 (SOHO) 路由器和物联网设备正受到名为 TheMoon 的僵尸网络的攻击，该僵尸网络为名为 Faceless 的犯罪代理服务提供支持
参考链接：https://thehackernews.com/2024/04/malicious-apps-caught-secretly-turning.html