در حال حاضر کماکان بازار استفاده از VPNهای مختلف برای دور زدن محدودیتهای فیلترینگ داغ است. در این میان بدافزارهایی در قالب VPNهای قانونی ظاهر میشوند و با فریب کاربران به اقدامات مخرب خود میپردازند.
اخیرا نسخه اندروید اپلیکیشن Swing VPN که توسط Limestone Software Solutions برای سیستمهای اندروید و iOS توسعه یافته است و در فروشگاه رسمی گوگل پلی با نام Swing VPN – Fast VPN Proxy در دسترس میباشد، به عنوان باتنت Distributed Denial-of-Service (DDoS) شناسایی شده است.
لازم به ذکر است که Swing بیش از ۵ میلیون دانلود و نصب فعال بر روی اندروید دارد و کاربران ایرانی بسیاری از آن استفاده میکنند. یک محقق امنیتی به نام Lecromee، ضمن انتقاد از ضعف سیستم امنیتی گوگل در تشخیص اقدامات مخرب گفت: نسخه اندروید این اپلیکیشن یک باتنت DDoS بوده و اهداف مخربی از جمله حملات منع سرویس توزیع شده (حملات DDoS) دارد.
این مسئله زمانی رخ داد که کاربران Swing VPN متوجه الگوی درخواستهای مشکوک و غیرمعمول از بازدید وبسایت خاصی در تلفن همراهشان شدند که پیشتر به آن دسترسی نداشته یا از آن بازدید نکرده بودند، بدین شکل که گوشی به طور مداوم هر ۱۰ ثانیه درخواستها را به یک وبسایت خاص ارسال میکرد.
تجزیه و تحلیل فنی Lecromee از فعالیت Swing VPN، بیانگر استفاده هوشمندانه از کتابخانههای بومی سفارشی برای پنهان کردن عملکرد مخرب آن و پیچیده کردن تشخیص و شناسایی بود. Lecromee دریافت که بلافاصله پس از نصب، انتخاب زبان و پذیرش سیاست حفظ حریم خصوصی (Privacy Policy)، این اپلیکیشن آدرس IP واقعی را تشخیص میدهد.
عملیات مورد استفاده جهت یافتن IP نیز به این صورت میباشد که اپلیکیشن درخواستی با عبارت “What is my IP?” به موتورهای جستجوی Bing و Google ارسال میکند، در مرحله بعد با تجزیه HTML پاسخ داده شده و عمدتا جهت یافتن فایلهای پیکربندی برای آپلود، IPها را از پاسخها تشخیص میدهد.
گفتنی است که این اپلیکیشن برای راهاندازی حملات DDoS علیه چندین وبسایت استفاده میشود. سایتهای مورد هدف شامل وبسایت رسمی خطوط هوایی ترکمنستان و همچنین Science.gov وب سایتی که دسترسی به مقالات علمی و تحقیقات دولت ایالات متحده را فراهم میسازد. جهت مشاهده نمونهای از ارتباطات مشکوک Swing VPN که درخواست را به سایت turkmenistanairlines.tm ارسال کرده است بر روی این لینک کلیک کنید.
در واقع Swing VPN پس از شناسایی نوع پیکربندی مورد نیاز، به دو فایل پیکربندی متفاوت که در اکانت شخصی Google Drive توسعهدهنده ذخیره شده، درخواستهایی را ارسال میکند. این فایلها از سرورهای شخصی، چند مخزن GitHub و یا اکانتهای Google Drive درخواست میشوند. Swing VPN فرآیند آغازین خود را با اتصال به یک شبکه تبلیغاتی برای لود تبلیغات خاتمه میدهد و نهایتا دادهها را قبل از آغاز فرایند DDoS در حافظه محلی ذخیره میسازد.
از دیگر اپلیکیشنهای مخرب اندروید در Google Play که به عنوان VPN و برنامههای چت استتار شدهاند، میتوان به سه برنامه اندرویدی nSure Chat، iKHfaa VPN ،Device Basic Plus اشاره کرد که توسط شرکت امنیت سایبری Cyfirma یافت شدهاند و عوامل تهدید مورد حمایت دولت از آنها برای جمعآوری اطلاعاتی مانند دادههای موقعیت مکانی و فهرستهای مخاطبین از دستگاههای مورد نظر سو استفاده شده است.