محقق برنامه اندروید محبوب Swing VPN را به عنوان بات نت DDoS شناسایی کرد ⋆

محقق برنامه اندروید محبوب Swing VPN را به عنوان بات نت DDoS شناسایی کرد

ژوئن 21, 2023 by vpn بدون دیدگاه

Researcher Identifies Popular Swing VPN Android App as DDoS Botnet

اپلیکیشن Swing VPN که در فروشگاه رسمی گوگل پلی با نام Swing VPN – Fast VPN Proxy موجود است، بیش از ۵ میلیون دانلود دارد.

Swing VPN یک برنامه VPN قانونی است که توسط Limestone Software Solutions برای سیستم های اندروید و iOS توسعه یافته است. با این حال، به گفته محقق Lecromee، نسخه اندروید این برنامه یک بات‌نت DDoS است و گفته می‌شود که دارای هدف مخربی است زیرا می‌تواند حملات انکار سرویس توزیع شده (حملات DDoS) را انجام دهد.

محقق برنامه اندروید محبوب Swing VPN را به عنوان بات نت DDoS شناسایی کرد — تصویری از گزارش Lecromee

همه چیز از آنجا شروع شد که دوست لکرومی به او از مشاهده یک الگوی درخواست غیرعادی در تلفن همراهش اطلاع داد. این تلفن به طور مداوم هر 10 ثانیه یک بار درخواست ها را به یک وب سایت خاص ارسال می کرد. ظاهراً این برنامه از تاکتیک های مختلفی برای پنهان کردن اقدامات مخرب خود استفاده کرده است تا حمله را شناسایی نکند.

در ابتدا، Lecromee این مشکل را بدافزار یا یک ویروس مقصر دانست. با این حال، بررسی های بیشتر نشان داد که همه درخواست ها از برنامه Swing VPN که دوستش روی گوشی خود نصب کرده بود، ارسال شده است. درخواست‌ها به همان سایتی فرستاده شد که دوست لکرومی هرگز به آن دسترسی نداشته یا از آن بازدید نکرده بود، که محقق را به برنامه مشکوک کرد.

برای بررسی بیشتر، Lecromee برنامه Pcapdroid را نصب کرد تا ارتباط ترمینال خود را بررسی کند و عملیات Swing VPN را بررسی کند. در این مرحله، Lecromee مطمئن نبود که آیا برنامه Swing یک برنامه مخرب دارد یا خیر. او مشاهده کرد که برنامه Swing VPN برخی از درخواست ها را به یک سایت ارسال کرد.

برای تعیین هدف واقعی برنامه، او از mitmproxy برای گرفتن داده های ارسالی استفاده کرد. او تشخیص داد که اپلیکیشن آدرس IP واقعی را بلافاصله پس از نصب، انتخاب زبان و پذیرش خط‌مشی رازداری مشخص می‌کند. سپس درخواستی را با عبارت «IP چیست؟» به بینگ و گوگل ارسال می‌کند. Lecromee همچنین یاد گرفت که برنامه HTML بازگشتی را تجزیه می کند و IP ها را از پاسخ ها شناسایی می کند، عمدتاً برای یافتن فایل های پیکربندی برای آپلود.

برنامه پس از شناسایی نوع پیکربندی مورد نیاز خود، درخواست هایی را به دو فایل پیکربندی مختلف ذخیره شده در حساب شخصی گوگل درایو توسعه دهنده ارسال می کند. این فایل‌ها از سرورهای شخصی خاص، چندین مخزن GitHub یا حساب‌های Google Drive درخواست می‌شوند. این برنامه فرآیند اولیه سازی خود را با اتصال به یک شبکه تبلیغاتی برای بارگیری تبلیغات به پایان می رساند و در نهایت داده ها را قبل از رفتن به یک سایت DDoS در یک کش محلی ذخیره می کند.

این صفحه ای است که Swing VPN درخواست را ارسال کرده است. این وب سایت توسط خطوط هوایی ترکمنستان (turkmenistanairlines.tm) مدیریت می شود.

محقق تعجب کرد که بار درخواست حاوی داده های خاصی است و نقطه پایانی درخواست ها نیز با ارسال یک درخواست در هر 10 ثانیه، بسیاری از منابع سایت را استخراج می کند.

Lecromee: «از آنجایی که جستجوی پرواز یک کار بسیار فشرده است که به پایگاه‌های اطلاعاتی و منابع سرور زیادی نیاز دارد، واضح است که هدف این است که سرور را از منابع تحت فشار قرار دهیم تا کاربران عادی نتوانند در صورت نیاز به آن دسترسی داشته باشند.» در یک پست وبلاگ فنی گفت.

تا ژوئن 2023، این برنامه بیش از 5 میلیون نصب در اندروید داشت و با تقسیم آن به ده، پتانسیل 500 هزار RPS را به همراه داشت. این برای DDoSing چشمگیر است. لکرومی از گوگل به دلیل داشتن یک سیستم امنیتی ضعیف که به برنامه‌های مخرب اجازه می‌دهد از دستگاه‌های کاربران نامطمئن سوءاستفاده کنند، انتقاد کرد.

اما هکرید فعلا نمی تواند این ادعا را تایید کند. به زودی این داستان را با آخرین اطلاعات در مورد برنامه Swing به روز خواهیم کرد.

بات نت DDoS به سرورهای خصوصی Minecraft ضربه زد
مخازن جعلی GitHub که بدافزار را به صورت PoC ارائه می‌کنند
بات نت جدید Matryosh DDoS به دستگاه های اندرویدی می رسد
باتنت WireX Android DDoS توسط غول های امنیتی کشته شد
بدافزار پایگاه داده Elasticsearch را به بات نت DDoS تبدیل می کند

#محقق #برنامه #اندروید #محبوب #Swing #VPN #را #به #عنوان #بات #نت #DDoS #شناسایی #کرد