Ministério Publico do Estado de Mato Grosso
Centros de Apoio Operacional > CAO CIBER >

Como o uso de VPNs gratuitas pode deixar você à mercê de uma botnet

por Alanna Titterington

quinta-feira, 01 de agosto de 2024, 14h40

Os cérebros por trás da colossal botnet que abrange 19 milhões de endereços IP usaram serviços VPN gratuitos como isca para atrair usuários desavisados.

 

 

Quando se trata de VPNs, muita gente pensa: “por que se preocupar em pagar por uma VPN quando há toneladas de VPNs gratuitas por aí?” Mas os serviços VPN gratuitos são realmente gratuitos? Este artigo explica por que acreditar nisso é equivocado e oferece a solução ideal: um dos aplicativos VPN mais rápidos e seguros do planeta.

 

Primeiro foi: “Não existe almoço grátis”, um dito que remonta à década de 1930. No nosso século, esse velho ditado foi atualizado e adaptado para a era digital: “Se você não está pagando pelo produto, você é o produto”. Isso se aplica hoje a muitos serviços de Internet, mas especialmente a VPNs. Afinal, manter uma rede de servidores em todo o mundo e lidar com o tráfego criptografado de milhares, senão milhões de usuários, tem um custo significativo. E se os usuários não forem explicitamente solicitados a pagar por esses serviços, é provável que haja um problema em algum lugar. E esse “em algum lugar” foi recentemente demonstrado explicitamente por alguns incidentes importantes…

 

A VPN “0800” e uma botnet com 19 milhões de endereços IP

 

Em maio de 2024, o FBI e parceiros de execução da lei, desmantelaram uma botnet conhecida como 911 S5. Essa rede maliciosa abrangia 19 milhões de endereços IP exclusivos em mais de 190 países, tornando-a possivelmente a maior botnet já criada.
 

Mas o que uma botnet gigantesca tem a ver com VPNs gratuitas? Na verdade, muito, já que os criadores da 911 S5 usaram vários serviços VPN gratuitos para dar vida à sua ideia: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN e ShineVPN. Os usuários que instalaram esses aplicativos tiveram seus dispositivos transformados em servidores proxy canalizando o tráfego de outra pessoa.

 

Por sua vez, esses servidores proxy foram usados para várias atividades ilícitas pelos clientes reais da botnet, cibercriminosos que pagaram aos administradores do 911 S5 para acessá-la. Como resultado, os usuários desses serviços de VPN gratuitos tornaram-se cúmplices involuntários de uma série de crimes: ataques cibernéticos, lavagem de dinheiro, fraude em massa e muito mais, porque seus dispositivos foram sugados pela botnet sem o seu conhecimento.

 

 

Lista de preços do botnet 911 S5
Preços de aluguel de proxy da botnet 911 S5 Fonte​​​​​

 

 

A botnet 911 S5 iniciou suas operações nefastas em maio de 2014. Perturbadoramente, os aplicativos VPN gratuitos nos quais foi construída circulavam desde 2011. Em 2022, os agentes da lei conseguiram derrubá-la temporariamente, mas ela ressurgiu alguns meses depois sob um novo alias: CloudRouter.

 

Finalmente, em maio de 2024, o FBI conseguiu não apenas desmantelar a infraestrutura da rede de bots, mas também apreender os mentores, assim a saga da 911 S5 provavelmente terminará. Enquanto esteve em operação, estima-se que a botnet tenha lucrado a seus criadores US$ 99 milhões. Quanto às perdas para as vítimas, apenas as confirmadas somam vários bilhões de dólares.

 

 

Site PaladinVPN apreendido pelo FBI
O FBI apreendeu o site do PaladinVPN, um dos aplicativos VPN gratuitos usados para criar a botnet 911 S5

 

 

Aplicativos de VPN infectados no Google Play

 

Embora o caso da 911 S5 seja, sem dúvida, uma das maiores botnets, esse está longe de ser um incidente isolado. Alguns meses antes, em março de 2024, um esquema semelhante foi descoberto envolvendo várias dezenas de aplicativos publicados no Google Play.

 

Embora entre eles também houvesse outros aplicativos (como teclados e inicializadores alternativos), as VPNs gratuitas constituíam a maior parte dos infectados. Confira a lista completa:

 

  • Lite VPN
  • Byte Blade VPN
  • BlazeStride
  • FastFly VPN
  • FastFox VPN
  • FastLine VPN
  • Oko VPN
  • Quick Flow VPN
  • Sample VPN
  • Secure Thunder
  • ShineSecure VPN
  • SpeedSurf
  • SwiftShield VPN
  • TurboTrack VPN
  • TurboTunnel VPN
  • YellowFlash VPN
  • VPN Ultra
  • Run VPN
  •  

 

Oko VPN e Run VPN no Google Play
Oko VPN e Run VPN antes de serem removidos do Google Play Fonte​​​​​

 

 

 

Foram detectados dois modos de infecção. As versões anteriores dos aplicativos utilizavam a biblioteca ProxyLib para transformar dispositivos nos quais os aplicativos infectados foram instalados em servidores proxy. As versões mais recentes empregavam um SDK chamado LumiApps, oferecendo aos desenvolvedores monetização mostrando páginas ocultas no dispositivo, mas na realidade fazendo exatamente a mesma coisa, ou seja, transformando dispositivos em servidores proxy.

 

Assim como no caso anterior, os organizadores dessa campanha maliciosa venderam o acesso a servidores proxy instalados nos dispositivos do usuário com os aplicativos infectados para outros cibercriminosos.

 

Após a publicação do relatório, os aplicativos de VPN infectados foram, obviamente, removidos do Google Play. No entanto, eles continuam a circular em outros lugares, por exemplo, às vezes são publicados em várias encarnações diferentes sob diferentes nomes de desenvolvedor na popular loja de aplicativos alternativa APKPure (que foi infectada com um trojan alguns anos atrás).

 

 

 

Oko VPN na loja de aplicativos não oficial APKPure
O Oko VPN, um dos aplicativos de VPN infectados descontinuado no Google Play, existe em várias versões na plataforma alternativa

 

 

 

(...) 

 

Para realizar a leitura do artigo na íntegra, acesse o portal Kaspersky Daily por meio deste link. 

 

 

 

14/11/2023 'Advocacia do futuro' será tema de painel em evento da OAB em Belo Horizonte

14/11/2023 Delegados pedem regras menos burocráticas para investigar fraudes com Pix

14/11/2023 Proposta cria juizados especiais para crimes digitais

13/11/2023 Ministros do STF debatem democracia e direitos fundamentais na era digital

13/11/2023 Câmara aprova adesão do Brasil à Convenção sobre o Crime Cibernético

13/11/2023 Deputados aprovaram projetos sobre crimes cibernéticos e inteligência artificial

13/11/2023 Comissão aprova financiamento de cursos contra crimes cibernéticos para servidores

13/11/2023 CCJ aprova proibição de acesso à internet para acusados de crimes cibernéticos

10/11/2023 Centro de Estudos da Câmara discute impacto da inteligência artificial no mercado de trabalho

10/11/2023 Câmara aprova punição para golpes cometidos por meio de redes sociais

topo