Especialistas de duas empresas especializadas em segurança cibernética descobriram de forma independente a operação de serviços de proxy ilegais executados em roteadores e telefones Android infectados com malware.

Fonte da imagem: B_A / pixabay.com

A Lumen Labs descobriu que cerca de 40.000 roteadores residenciais e de escritório foram incluídos na rede ilegal, com outros 1.000 dispositivos sendo adicionados todos os dias. Todos eles estão infectados com o malware TheMoon, que apareceu pelo menos em 2014. No início, os vírus TheMoon afetaram quase exclusivamente os roteadores da série Linksys E1000; Ao longo dos anos, eles incluíram câmeras de rede Asus WRT, D-Link e Vivotek.

Nos primeiros anos, o TheMoon se espalhou ativamente e atraiu a atenção de especialistas em segurança cibernética, mas posteriormente tornou-se menos perceptível. Para surpresa dos pesquisadores do laboratório Black Lotus da Lumen, no início de março, 6.000 roteadores Asus acabaram na botnet TheMoon em apenas 72 horas. Ainda mais impressionante foi a descoberta de uma rede oculta de 40.000 roteadores domésticos e de escritório em 88 países – como se viu, a grande maioria dos dispositivos infectados pelo TheMoon foram registrados no serviço proxy ilegal Faceless, usado para anonimizar os cibercriminosos. Cerca de 80% dos bots Faceless estão localizados nos Estados Unidos, o que significa que os principais alvos dos cibercriminosos que utilizam o serviço são organizações americanas e contas de usuários americanas.

Especialistas da divisão Satori Intelligence da Human descobriram 28 aplicativos na loja Google Play que, sem o conhecimento dos usuários, registravam seus dispositivos em uma rede proxy de 190 mil nós. A rede recebeu o nome de ProxyLib – sua existência remonta ao aplicativo Oko VPN, que foi removido do Google Play no ano passado, que usava dispositivos infectados para fraudes publicitárias. Todos os 28 aplicativos detectados pela Satori Intelligence copiaram o código VPN da Oko e conectaram dispositivos ao serviço de proxy da Asock.

Os pesquisadores também descobriram uma segunda geração de aplicativos ProxyLib que foram monetizados usando o serviço LumiApps, que adiciona a mesma funcionalidade ao software móvel para conectar-se à mesma infraestrutura do Oko VPN. Esses aplicativos são distribuídos como “mods” fora do Google Play. Os especialistas não sabem quais dispositivos faziam parte da rede Asock – no seu auge, havia 190 mil deles, podendo ser telefones Android ou outros dispositivos comprometidos de outras maneiras.

Para proteger seus dispositivos de se conectarem a redes obscuras, recomendamos tomar alguns cuidados. Não é recomendado o uso de equipamentos que não sejam mais suportados pelo fabricante – a maioria dos dispositivos da botnet TheMoon atingiu o fim de sua vida útil e não está mais recebendo atualizações de segurança. Também é recomendado não usar a função UPnP, a menos que seja absolutamente necessário e, se você conectá-la, apenas para determinadas portas. Recomenda-se instalar aplicativos em dispositivos Android somente após estudar a reputação do software e de seu desenvolvedor.

avalanche

Postagens recentes

DOOM: A Idade das Trevas – Revelações. Sem revelações. Análise

\nJogado no PC\n\nO DLC Revelations saiu com um histórico de informações extremamente difícil - os…

1 hora atrás

Pesquisadores descobriram um vírus ClickLock para macOS que rouba senhas e criptomoedas

\nEspecialistas do Group-IB descobriram um novo malware para macOS, chamado ClickLock, que encerra todos os…

2 horas atrás

Na onda do sucesso: uma semana após o lançamento, as vendas de Assassin’s Creed Black Flag Resynced atingiram novos patamares

\nMais de uma semana se passou desde o lançamento do jogo de ação pirata em…

3 horas atrás

Um americano foi preso sob suspeita de roubar criptomoedas por meio de um vírus escondido em jogos Steam.

O FBI prendeu Zyaire Dontaevious Zamarion Wilkins, de 21 anos, na Flórida, e o acusou…

5 horas atrás

A TSMC se vangloriou de seu sucesso no desenvolvimento da tecnologia de processo A14 de 1,4 nm – ela está se desenvolvendo mais rápido que o N2

\nNos últimos três meses, a TSMC fez progressos significativos no desenvolvimento da tecnologia de processo…

5 horas atrás