Новости Скачали бесплатный VPN на Android или Windows? Миллион установок и 34 тысячи отзывов не спасли WireVPN от шпионского скандала

NewsMaker

I'm just a script
Премиум
28,228
46
8 Ноя 2022
Защита личных данных стала прикрытием для крупной аферы.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
f15o23sbdpnsg7mi37scw4biobdyeoac.jpg

Домены, похожие на настоящие сайты популярных программ, снова оказались не просто приманкой для установки вредоносного ПО, а входом в более крупную схему по продаже чужого интернет-трафика. Специалисты Infoblox связали поддельный установщик 7-Zip с многолетней операцией Lurking Lizard, в которой заражённые устройства превращали в узлы резидентной прокси-сети.

Резидентные прокси позволяют пропускать чужой трафик через обычные домашние или пользовательские устройства, чтобы внешне соединение выглядело как запрос от реального абонента. В начале 2026 года злоумышленники заманивали пользователей на 7zip[.]com вместо настоящего сайта 7-zip[.]org. Установщик работал достаточно правдоподобно, чтобы жертва не спешила удалять программу, но параллельно подключал устройство к прокси-инфраструктуре.

Infoblox выяснила, что кампания с 7-Zip была лишь заметной частью схемы. Через DNS, WHOIS и анализ инфраструктуры специалисты нашли более 230 связанных доменов. Среди них были поддельные сайты популярных <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-сервисов, сервисов виртуальных телефонных номеров, страниц загрузки, проверок IP-адреса и даже витрин прокси-провайдеров. Отдельные домены имитировали IPIDEA, SmartProxy, IP Royal и 911Proxy, а smartproxy[.]org, по данным Infoblox, принадлежал не настоящему Smartproxy, а Lurking Lizard.

Связать разные кампании помогла встроенная в образцы ссылка IPLogger. Вредоносные программы обращались к ней без видимого для пользователя результата, но такой запрос позволял собирать сведения о жертве, включая IP-адрес, геолокацию, тип устройства и браузер. Та же метка встречалась в образцах с 2022 года, включая ложные загрузчики видео и более новые варианты под брендом WireVPN.

Новая активность, по оценке Infoblox, связана именно с WireVPN. Windows-образцы использовали похожую структуру файлов, создавали правила брандмауэра через netsh и закреплялись в системе через реестр. При запуске клиент проверял множество IP-адресов по всему миру и устанавливал несколько одновременных соединений с доменами WireVPN и внешне нейтральными хостами, которые вели к общей инфраструктуре Lurking Lizard.

Такое поведение больше похоже не на обычный VPN , а на участие устройства в распределённой прокси-сети, хотя специалисты отдельно указали, что полная характеристика трафика требует дальнейшего анализа.

Мобильные приложения WireVPN тоже попали в поле зрения Infoblox. Версии для Apple App Store и Google Play связаны с тем же доменом wirevpn[.]app, а Android-версия на момент публикации имела более 1 млн загрузок и свыше 34 тысяч отзывов. При этом специалисты анализировали Windows-образцы и не утверждают, что мобильные приложения выполняют те же действия.

Итогом стала не история об одной поддельной программе, а картина полноценной прокси-экономики, где одни домены привлекают жертв, другие продают доступ к узлам, а отдельные сайты с обзорами подталкивают клиентов к нужным сервисам.
 
Источник новости
www.securitylab.ru

Похожие темы