VPN服務開始越來越普及,無論是哪種用途,依然有人會認為既然有免費VPN服務,為何要使用付費版本?現在可能有答案,因為有殭屍網絡的主媒利用免費VPN服務,引誘毫無戒備的用戶掉入陷阱。
免費VPN和1900萬個IP地址的殭屍網絡
在今年5月,FBI聯同其他執法部門破解了名為911 S5的殭屍網絡,這個惡意網絡在全球超過190個國家中擁有1900萬個唯一IP地址,可能是歷來最龐大的殭屍網絡,創建者使用了多種免費VPN服務去建立殭屍網絡,分別是MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN和ShineVPN,用戶安裝了這些應用程式之後,他們的裝置便會變成代理伺服器(proxy server)為他人傳送數據。
這些伺服器也被殭屍網絡的真正客戶(向911 S5付款存取)用作不同的非法行為,結果在不知情的情況下使用這些免費VPN服務的用戶,也成為了連串犯罪活動的幫兇,當中包括:網絡攻擊、洗黑錢、大規模詐騙等等,用戶在不知情的情況下裝置被吸引殭屍網絡之內。
911 S5早在2014年5月開始運作,而它建於的免費VPN服務則自2011年開始具備應用程式,在2022年執法部門曾一度令它短暫停運,但在幾個月後已新名稱CloudRouter「復活」,最後在2024年5月,FBI不但成功搗破殭屍網絡的基礎設施,更逮捕了主腦,令911 S5真正的完結,估計殭屍網絡為創立人賺取9900萬美元,至於已確定受害者的損失高達數十億美元。
Google Play上受感染的VPN應用程式
即使911 S5是最大規模的殭屍網絡之一,但它並非單獨個案,在今年3月就在Google Play上發現類似的活動,當中涉及十多個應用程式:
- Lite VPN
- Byte Blade VPN
- BlazeStride
- FastFly VPN
- FastFox VPN
- FastLine VPN
- Oko VPN
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- ShineSecure VPN
- SpeedSurf
- SwiftShield VPN
- TurboTrack VPN
- TurboTunnel VPN
- YellowFlash VPN
- VPN Ultra
- Run VPN
感染具備兩種模式,較早版本的應用程式利用ProxyLib程式庫,把已安裝受感染應用程式的裝置變成代理伺服器,較新版本具備名為LimiApps的SDK,為開發者在裝置上顯示隱藏頁面去謀利,也同樣把裝置變成代理伺服器,然後惡意活動的組織向其他網絡犯罪份子,出售存取這些代理伺服器的權限。在事件被報導後,受感染VPN就被Google Play移除,不過仍無限他們的運作,開發者透過不同的名稱,在其他應用程式商店APKPure (數年前已被木馬程式感染)上發佈。
需要使用VPN的話…
如果需要使用VPN服務而不想付費,可以考慮Kaspersky VPN Connection的免費版本,雖然用戶無法選擇伺服器,每日限制300 MB流量,但用戶的裝置和往來的數據都受到保護,付費版當然無以上限制,更能享受高速的連線體驗。
資料來源:Kaspersky Blog
