Популярний додаток для VPN виявився DDoS інструментом

Дослідник, відомий у мережі під псевдонімом Lecromee, повідомив, що версія популярного додатка Swing VPN — Fast VPN Proxy для Android є ботнетом і виконує DDoS-атаки. За словами експерта, програма, розроблена Limestone Software Solutions, автоматично перетворює смартфон на хакерський інструмент.

Незвичну активність помітив друг Lecromee — його телефон постійно надсилав запити на певний вебсайт кожні 10 секунд. Програма нібито використовувала різні тактики, щоб приховати свої шкідливі дії, щоб атака залишалася непоміченою.

Lecromee з’ясував, що всі запити надсилалися з програми Swing VPN, яку його друг встановив на свій телефон. Експерт дізнався, що додаток визначає справжню IP-адресу користувача відразу після встановлення, вибору мови та прийняття «Політики конфіденційності».

Програма завершує процес ініціалізації, підключаючись до рекламної мережі для завантаження реклами, і зберігає дані в локальному кеші, перш ніж розпочати DDoS-атаку сайту. Запити Swing VPN надсилаються на сайт Туркменських авіаліній (turkmenistanairlines.tm).

«Оскільки пошук рейсу — досить інтенсивне завдання, що вимагає великої кількості баз даних і серверних ресурсів, мета полягає в тому, щоб навантажити сервер з ресурсів, щоб звичайні користувачі не могли отримати доступ до нього, коли це необхідно», — зауважив Lecromee.

Станом на червень 2023 року Swing VPN — Fast VPN Proxy завантажили більше 5 млн разів, що дає потенціал DDoS-атаки в 500 000 запитів на секунду. Для порівняння, у жовтні 2022 року ботнет Mirai провів найбільшу DDoS-атаку на сервер Minecraft. Пік атаки тривав 15 секунд і складав 26 млн запитів на секунду. Lecromee розкритикував Google за слабку систему безпеки, яка дозволяє шкідливим програмам використовувати пристрої користувачів.