Milhares de telefones e roteadores foram conectados a serviços de proxy sem o conhecimento dos proprietários

Especialistas de duas empresas especializadas em segurança cibernética descobriram de forma independente a operação de serviços de proxy ilegais executados em roteadores e telefones Android infectados com malware.

Fonte da imagem: B_A / pixabay.com

A Lumen Labs descobriu que cerca de 40.000 roteadores residenciais e de escritório foram incluídos na rede ilegal, com outros 1.000 dispositivos sendo adicionados todos os dias. Todos eles estão infectados com o malware TheMoon, que apareceu pelo menos em 2014. No início, os vírus TheMoon afetaram quase exclusivamente os roteadores da série Linksys E1000; Ao longo dos anos, eles incluíram câmeras de rede Asus WRT, D-Link e Vivotek.

Nos primeiros anos, o TheMoon se espalhou ativamente e atraiu a atenção de especialistas em segurança cibernética, mas posteriormente tornou-se menos perceptível. Para surpresa dos pesquisadores do laboratório Black Lotus da Lumen, no início de março, 6.000 roteadores Asus acabaram na botnet TheMoon em apenas 72 horas. Ainda mais impressionante foi a descoberta de uma rede oculta de 40.000 roteadores domésticos e de escritório em 88 países – como se viu, a grande maioria dos dispositivos infectados pelo TheMoon foram registrados no serviço proxy ilegal Faceless, usado para anonimizar os cibercriminosos. Cerca de 80% dos bots Faceless estão localizados nos Estados Unidos, o que significa que os principais alvos dos cibercriminosos que utilizam o serviço são organizações americanas e contas de usuários americanas.

Especialistas da divisão Satori Intelligence da Human descobriram 28 aplicativos na loja Google Play que, sem o conhecimento dos usuários, registravam seus dispositivos em uma rede proxy de 190 mil nós. A rede recebeu o nome de ProxyLib – sua existência remonta ao aplicativo Oko VPN, que foi removido do Google Play no ano passado, que usava dispositivos infectados para fraudes publicitárias. Todos os 28 aplicativos detectados pela Satori Intelligence copiaram o código VPN da Oko e conectaram dispositivos ao serviço de proxy da Asock.

Os pesquisadores também descobriram uma segunda geração de aplicativos ProxyLib que foram monetizados usando o serviço LumiApps, que adiciona a mesma funcionalidade ao software móvel para conectar-se à mesma infraestrutura do Oko VPN. Esses aplicativos são distribuídos como “mods” fora do Google Play. Os especialistas não sabem quais dispositivos faziam parte da rede Asock – no seu auge, havia 190 mil deles, podendo ser telefones Android ou outros dispositivos comprometidos de outras maneiras.

Para proteger seus dispositivos de se conectarem a redes obscuras, recomendamos tomar alguns cuidados. Não é recomendado o uso de equipamentos que não sejam mais suportados pelo fabricante – a maioria dos dispositivos da botnet TheMoon atingiu o fim de sua vida útil e não está mais recebendo atualizações de segurança. Também é recomendado não usar a função UPnP, a menos que seja absolutamente necessário e, se você conectá-la, apenas para determinadas portas. Recomenda-se instalar aplicativos em dispositivos Android somente após estudar a reputação do software e de seu desenvolvedor.