От некоторых людей можно услышать такое мнение: «Зачем вообще платить за VPN-приложение? Ведь существует куча бесплатных VPN, бери да пользуйся!» В этом посте мы рассмотрим, что же не так с бесплатными VPN-сервисами, и посоветуем оптимальный способ защититься от вредоносных приложений.
Часто говорят, что если вы не платите за товар, то, скорее всего, вы сами являетесь товаром. Это верно для многих интернет-сервисов, но особенно для VPN. Содержание кучи серверов по всему миру, которые пропускают через себя зашифрованный трафик многих тысяч или даже миллионов людей, стоит серьезных денег. И если пользователя не просят платить за эти услуги в явном виде — чаще всего где-то есть подвох. Недавно произошла пара масштабных событий, которые демонстрируют, в чем же он может состоять.
Халявный VPN и ботнет из 19 миллионов IP-адресов
В мае 2024 года ФБР в партнерстве с еще несколькими агентствами уничтожила ботнет под названием 911 S5. На момент операции эта вредоносная сеть состояла из 19 миллионов уникальных IP-адресов, расположенных в более чем 190 странах мира, — не исключено, что это был крупнейший из когда-либо созданных ботнетов.
Какое же отношение имеет гигантский ботнет к халявному VPN? Самое непосредственное: дело в том, что для организации 911 S5 его создатели использовали несколько бесплатных VPN-сервисов, а именно: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN и Shine VPN. Установленные пользователями этих сервисов приложения превращали их устройства в прокси-серверы, пропускающие через себя чужой трафик.
В свою очередь, эти прокси-серверы использовались для разного рода незаконной деятельности настоящими клиентами ботнета 911 S5 — то есть киберпреступниками, которые платили деньги организаторам вредоносной сети за доступ к ней. Таким образом пользователи бесплатных VPN-сервисов оказались невольными пособниками огромного количества различных преступлений — кибератак, отмывания денег, массового мошенничества и многого другого, ведь их устройства без ведома владельца стали частью мошеннического ботнета.
Ботнет 911 S5 начал предоставлять свои вредоносные услуги в мае 2014 года. Причем бесплатные VPN-приложения, на которых он был построен, организаторы распространяли еще с 2011 года. В 2022 году правоохранителям удалось на некоторое время прекратить его работу, однако уже через пару месяцев он был перезапущен под другим названием — CloudRouter.
Наконец, в мае 2024 года ФБР удалось не только уничтожить инфраструктуру ботнета, но и арестовать его организаторов — так что на этом история 911 S5, вероятно, окончательно прекратится. Общая выручка создателей 911 S5 за время работы ботнета оценивается в $99 миллионов. Что касается последствий его деятельности, то лишь доказанная часть ущерба составляет несколько миллиардов долларов.
Зараженные VPN-приложения на Google Play
Описанный выше случай — самый масштабный, но далеко не единичный. Буквально за пару месяцев до него, в марте 2024 года, была обнаружена похожая схема с несколькими десятками приложений, опубликованных в Google Play.
Хотя среди них были в том числе и приложения другой направленности — альтернативные клавиатуры, лончеры и так далее, большую часть зараженных приложений составляли именно бесплатные VPN. Вот их полный список:
Lite VPN
Byte Blade VPN
BlazeStride
FastFly VPN
FastFox VPN
FastLine VPN
Oko VPN
Quick Flow VPN
Sample VPN
Secure Thunder
ShineSecure VPN
SpeedSurf
SwiftShield VPN
TurboTrack VPN
TurboTunnel VPN
YellowFlash VPN
VPN Ultra
Run VPN
Вариантов заражения было два. Более ранние версии приложений использовали библиотеку ProxyLib, превращающую устройства, на которых были установлены зараженные приложения, в прокси-серверы. В более свежих версиях же была использована SDK под названием LumiApps. Эта SDK обещает разработчикам приложений монетизацию через показ на устройстве скрытых страниц, но на самом деле делает ровно то же самое — превращает устройства в прокси-серверы.
Точно так же, как и в предыдущем случае, доступ к прокси-серверам, установленным на устройствах пользователей зараженных приложений, организаторы этой вредоносной кампании продавали другим киберпреступникам.
После публикации отчета зараженные VPN-приложения, разумеется, вычистили из магазина Google Play. Однако их все еще можно обнаружить в других местах. Например, на достаточно популярной альтернативной площадке для скачивания приложений APKPure (приложение которой несколько лет назад заразили трояном) они иногда представлены сразу в нескольких ипостасях, опубликованных от имени разных разработчиков.
Как защититься от мошенников
Подобные ботнеты не редкость, и стоит правоохранительным органам закрыть один из них, тут же появляется другой. Чтобы ваши устройства не стали частью мошеннического ботнета, установите на него надежное защитное решение и избегайте бесплатных приложений с сомнительной репутацией.