Как попасть в ботнет, или что не так с бесплатными VPN

Организаторы огромного ботнета, состоявшего из 19 миллионов IP-адресов, использовали бесплатные VPN-сервисы, чтобы заманивать пользователей.

Чем опасны бесплатные VPN-сервисы

От некоторых людей можно услышать такое мнение: «Зачем вообще платить за VPN-приложение? Ведь существует куча бесплатных VPN, бери да пользуйся!» В этом посте мы рассмотрим, что же не так с бесплатными VPN-сервисами, и посоветуем оптимальный способ защититься от вредоносных приложений.

Часто говорят, что если вы не платите за товар, то, скорее всего, вы сами являетесь товаром. Это верно для многих интернет-сервисов, но особенно для VPN. Содержание кучи серверов по всему миру, которые пропускают через себя зашифрованный трафик многих тысяч или даже миллионов людей, стоит серьезных денег. И если пользователя не просят платить за эти услуги в явном виде — чаще всего где-то есть подвох. Недавно произошла пара масштабных событий, которые демонстрируют, в чем же он может состоять.

Халявный VPN и ботнет из 19 миллионов IP-адресов

В мае 2024 года ФБР в партнерстве с еще несколькими агентствами уничтожило ботнет под названием 911 S5. На момент операции эта вредоносная сеть состояла из 19 миллионов уникальных IP-адресов, расположенных в более чем 190 странах мира, — не исключено, что это был крупнейший из когда-либо созданных ботнетов.

Какое же отношение имеет гигантский ботнет к халявному VPN? Самое непосредственное: дело в том, что для организации 911 S5 его создатели использовали несколько бесплатных VPN-сервисов, а именно: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN и Shine VPN. Установленные пользователями этих сервисов приложения превращали их устройства в прокси-серверы, пропускающие через себя чужой трафик.

В свою очередь, эти прокси-серверы использовались для разного рода незаконной деятельности настоящими клиентами ботнета 911 S5 — то есть киберпреступниками, которые платили деньги организаторам вредоносной сети за доступ к ней. Таким образом пользователи бесплатных VPN-сервисов оказались невольными пособниками огромного количества различных преступлений — кибератак, отмывания денег, массового мошенничества и многого другого, ведь их устройства без ведома владельца стали частью мошеннического ботнета.

Расценки ботнета 911 S5

Цены на услуги по аренде прокси у ботнета 911 S5. Источник

Ботнет 911 S5 начал предоставлять свои вредоносные услуги в мае 2014 года. Причем бесплатные VPN-приложения, на которых он был построен, организаторы распространяли еще с 2011 года. В 2022 году правоохранителям удалось на некоторое время прекратить его работу, однако уже через пару месяцев он был перезапущен под другим названием — CloudRouter.

Наконец, в мае 2024 года ФБР удалось не только уничтожить инфраструктуру ботнета, но и арестовать его организаторов — так что на этом история 911 S5, вероятно, окончательно прекратится. Общая выручка создателей 911 S5 за время работы ботнета оценивается в $99 миллионов. Что касается последствий его деятельности, то лишь доказанная часть ущерба составляет несколько миллиардов долларов.

Захваченный ФБР сайт PaladinVPN

Захваченный ФБР сайт PaladinVPN — одного из бесплатных VPN-приложений, которые использовались для организации ботнета 911 S5

Зараженные VPN-приложения на Google Play

Описанный выше случай — самый масштабный, но далеко не единичный. Буквально за пару месяцев до него, в марте 2024 года, была обнаружена похожая схема с несколькими десятками приложений, опубликованных в Google Play.

Хотя среди них были в том числе и приложения другой направленности — альтернативные клавиатуры, лончеры и так далее, большую часть зараженных приложений составляли именно бесплатные VPN. Вот их полный список:

  • Lite VPN
  • Byte Blade VPN
  • BlazeStride
  • FastFly VPN
  • FastFox VPN
  • FastLine VPN
  • Oko VPN
  • Quick Flow VPN
  • Sample VPN
  • Secure Thunder
  • ShineSecure VPN
  • SpeedSurf
  • SwiftShield VPN
  • TurboTrack VPN
  • TurboTunnel VPN
  • YellowFlash VPN
  • VPN Ultra
  • Run VPN
Oko VPN и Run VPN в Google Play

Oko VPN и Run VPN до удаления из Google Play. Источник

Вариантов заражения было два. Более ранние версии приложений использовали библиотеку ProxyLib, превращающую устройства, на которых были установлены зараженные приложения, в прокси-серверы. В более свежих версиях же была использована SDK под названием LumiApps. Эта SDK обещает разработчикам приложений монетизацию через показ на устройстве скрытых страниц, но на самом деле делает ровно то же самое — превращает устройства в прокси-серверы.

Точно так же, как и в предыдущем случае, доступ к прокси-серверам, установленным на устройствах пользователей зараженных приложений, организаторы этой вредоносной кампании продавали другим киберпреступникам.

После публикации отчета зараженные VPN-приложения, разумеется, вычистили из магазина Google Play. Однако их все еще можно обнаружить в других местах. Например, на достаточно популярной альтернативной площадке для скачивания приложений APKPure (приложение которой несколько лет назад заразили трояном) они иногда представлены сразу в нескольких ипостасях, опубликованных от имени разных разработчиков.

Oko VPN в неофициальном магазине приложений APKPure

Oko VPN, одно из зараженных VPN-приложений, выгнанных из Google Play, на альтернативной площадке существует в нескольких версиях

Как защититься от мошенников

Подобные ботнеты не редкость, и стоит правоохранительным органам закрыть один из них, тут же появляется другой. Чтобы ваши устройства не стали частью мошеннического ботнета, установите на него надежное защитное решение и избегайте бесплатных приложений с сомнительной репутацией.

Советы