Приложение автоматически превращает смартфон в инструмент для DDoS-атак.
Swing VPN – Fast VPN Proxy — это официальное VPN-приложение, разработанное Limestone Software Solutions для Android и iOS. Однако, по словам исследователя Лекроми (Lecromee), версия этого приложения для Android является ботнетом и выполняет DDoS-атаки.
Все началось с того, что друг Лекроми сообщил ему о необычной последовательности запросов на его мобильном телефоне. Телефон постоянно отправлял запросы на определенный веб-сайт каждые 10 секунд. Приложение якобы использовало различные тактики, чтобы скрыть свои вредоносные действия, чтобы атака оставалась незамеченной.
Первоначально Лекроми списал эту деятельность на вредоносное ПО или вирус.
Однако дальнейшее расследование показало, что все запросы отправлялись из приложения Swing VPN, которое его друг установил на свой телефон. Запросы были отправлены на тот же сайт, на который друг Лекроми никогда не заходил, что вызвало у исследователя подозрения.
Эксперт выяснил, что приложение определяет настоящий IP-адрес пользователя сразу после установки, выбора языка и принятия Политики конфиденциальности. Приложение также анализирует возвращаемый с сайта HTML-код и идентифицирует IP-адреса из ответов, в основном для поиска файлов конфигурации для загрузки.
После определения требуемого типа конфигурации приложение отправляет запросы к двум разным файлам конфигурации, хранящимся в личной учетной записи Google Диска разработчика. Эти файлы запрашиваются с определенных персональных серверов, нескольких репозиториев GitHub или учетных записей Google Диска.
Приложение завершает процесс инициализации, подключаясь к рекламной сети для загрузки рекламы, и сохраняет данные в локальном кэше, прежде чем начать DDoS-атаку сайта. Запросы Swing VPN отправляются на сайт Туркменских авиалиний (turkmenistanairlines.tm).
Swing VPN – Fast VPN Proxy — это официальное VPN-приложение, разработанное Limestone Software Solutions для Android и iOS. Однако, по словам исследователя Лекроми (Lecromee), версия этого приложения для Android является ботнетом и выполняет DDoS-атаки.
Все началось с того, что друг Лекроми сообщил ему о необычной последовательности запросов на его мобильном телефоне. Телефон постоянно отправлял запросы на определенный веб-сайт каждые 10 секунд. Приложение якобы использовало различные тактики, чтобы скрыть свои вредоносные действия, чтобы атака оставалась незамеченной.
Первоначально Лекроми списал эту деятельность на вредоносное ПО или вирус.
Однако дальнейшее расследование показало, что все запросы отправлялись из приложения Swing VPN, которое его друг установил на свой телефон. Запросы были отправлены на тот же сайт, на который друг Лекроми никогда не заходил, что вызвало у исследователя подозрения.
Эксперт выяснил, что приложение определяет настоящий IP-адрес пользователя сразу после установки, выбора языка и принятия Политики конфиденциальности. Приложение также анализирует возвращаемый с сайта HTML-код и идентифицирует IP-адреса из ответов, в основном для поиска файлов конфигурации для загрузки.
После определения требуемого типа конфигурации приложение отправляет запросы к двум разным файлам конфигурации, хранящимся в личной учетной записи Google Диска разработчика. Эти файлы запрашиваются с определенных персональных серверов, нескольких репозиториев GitHub или учетных записей Google Диска.
Приложение завершает процесс инициализации, подключаясь к рекламной сети для загрузки рекламы, и сохраняет данные в локальном кэше, прежде чем начать DDoS-атаку сайта. Запросы Swing VPN отправляются на сайт Туркменских авиалиний (turkmenistanairlines.tm).