Proxylib

¿Qué es?

Proxylib es una librería maliciosa integrada en aplicaciones aparentemente legítimas que convierte dispositivos Android en nodos proxy sin el consentimiento del usuario. Se trata de un programa potencialmente malicioso (PUP) y no de un malware en el sentido tradicional, ya que no ejecuta acciones directamente destructivas o maliciosas. Igualmente, tiene comportamiento de troyano porque abre una especie de puerta trasera que permite a los atacantes utilizar los dispositivos infectados para enrutar tráfico malicioso y anonimizar sus ataques.

¿Qué hace?

Esta librería tiene capacidad para realizar las siguientes acciones:

• Convierte el dispositivo en un nodo de proxy residencial sin el conocimiento del usuario, lo que permite que atacantes usen su conexión para ocultar el origen de actividades fraudulentas.
• Establece comunicación con servidores de mando y control (C2) para recibir instrucciones y gestionar el tráfico proxy, lo que permite a los atacantes modificar dinámicamente la configuración de los dispositivos infectados.
• Monetiza el tráfico de red y permite compensaciones económicas basadas en la cantidad de tráfico que se enruta a través de los dispositivos infectados para los desarrolladores de aplicaciones que utilicen la librería.
• Consume ancho de banda y recursos del dispositivo, lo que puede provocar un aumento en el uso de datos móviles, una reducción del rendimiento general y un mayor consumo de batería.
• Oculta su actividad dentro de aplicaciones legítimas, especialmente en servicios VPN gratuitas con las que evita la detección tanto por parte de usuarios como de soluciones de seguridad.
• Recopila información sobre la red del usuario y el tráfico de datos que pasa a través de los dispositivos infectados.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Android.

¿Cómo me infecta?

Esta librería permite la infección de los dispositivos, sobre todo, a través de la descarga de aplicaciones comprometidas que parecen legítimas.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este programa potencialmente malicioso: accede a los cleaners de Android.

Más información

• Satori Threat Intelligence Alert: PROXYLIB and LumiApps Transform Mobile Devices into Proxy Nodes (Human Security)
• The Impact of Residential Proxy Networks: PROXYLIB (Human Security)
• Free VPN apps turn Android phones into criminal proxies (Malwarebytes)
• Android/Proxylib.C!tr (FortiGuard)