爲了竊取用戶網絡,攻擊者會誘導用戶安裝 proxyware 程序,該程序會将設備的可用互聯網帶寬分配爲代理服務器,這樣攻擊者可以将其用于各種任務,如測試、情報收集、内容分發或市場研究。
作爲共享網絡的回報,安裝 proxyware 程序的用戶可以從向客戶收取的費用中獲得抽成。例如,Peer2Profit 服務顯示,用戶通過在數千台設備上安裝該公司的程序,每月最高可以賺到 6000 美元。
趨勢科技的研究人員最近分析了幾個著名的 " 被動收入 " 應用程序,發現這些程序可能存在安全風險。所謂被動收入 ( Passive Income ) ,就是不需要花費多少時間和精力,也不需要照看,就可以自動獲得的收入。說白了就是不勞而獲,躺着賺錢!
網上有很多教人們如何通過共享閑置的計算能力或未使用的網絡帶寬來獲得 " 被動收入 "。當用戶在他們的計算機上安裝這樣的程序時,不管願不願意,系統就會成爲分布式網絡的代理。這個分布式網絡的運營商可以通過向其付費客戶銷售代理服務來賺錢。
盡管托管 " 被動收入 " 程序的網站會強調合法其自身的合法性,但我們發現此類程序可能會給下載者帶來安全風險。這是因爲這些代理服務的一些付費客戶可能将其用于不道德甚至非法的目的。
在本文中,我們研究了幾個著名的 " 被動收入 " 應用程序,這些應用程序将會把它們的計算機變成住宅 IP 代理,這些代理被賣給客戶,用作 " 住宅 IP 代理 "。這些應用程序通常通過推薦程序進行推廣,目前許多著名的 YouTube 和博客都在推廣他們。
我們還調查了将 " 被動收入 " 應用程序與第三方庫捆綁在一起的可疑開發商。這意味着并下載者不知道 " 被動收入 " 應用程序,而這些收入實際上都流向了開發者。這意味着,用戶無法控制使用其家庭 / 移動 IP 地址執行的活動。
通過共享未使用的帶寬就可以輕松在線賺錢?
在博客和 YouTube 網站上有很多帖子教人們如何通過簡單的教程獲得 " 被動收入 "。這些教程的開發者通常通過推薦來賺錢,并同時推廣幾個 " 被動收入 " 應用程序。
使用 " 網絡帶寬共享 " 盈利方案的公司包括 HoneyGain、TraffMonitizer、Peer2Profit、PacketStream 和 IPRoyal Pawns 等。這些公司爲用戶提供了一種通過下載和運行他們的程序代理來被動地在線賺錢的方式。通常情況下,用戶将分享他們的連接并獲得積分,這些積分之後可以轉換成實際的貨币。
公司通過共享網絡來宣傳被動收入
尋求收入的人将下載該程序來分享他們的帶寬并賺錢,但這些公司将帶寬賣給需要住宅代理服務的客戶。該公司網站列出了一些人們可能需要代理服務的原因:人口統計研究、繞開賭博和淘便宜貨的地理限制,或者出于隐私原因,等等。
這些公司很容易找到,在谷歌上簡單搜索 " 被動收入未使用帶寬 ",立即産生 IPRoyal Pawns, Honeygain, PacketStream, Peer2Profit, EarnApp 和 Traffmonetizer 等名稱。一些人在論壇和讨論區甚至建議同時安裝多個應用程序來賺更多的錢,或者運行多個虛拟機來增加潛在的利潤。
Quora 上關于如何增加被動收入的帖子
與普通用戶相比,共享帶寬在被動收入中所占的比例可能還不是最大的。根據一個博主分享的文章,推薦在博主收入中所占的比例甚至更大 ( 在這個圖表中超過 50% ) 。
從被動收入、流量共享應用程序中獲得的收入占比
盡管上圖中的數字顯而易見,但這位博主聲稱他每月大約賺 20 美元。但是用戶并不能保證能夠定期獲得如此低水平的收益。而且,作爲這種不确定收入的交換,用戶被要求定期接受未知水平的風險。
劫持是怎麽發生的?
這些 " 網絡帶寬共享 " 服務聲稱,用戶的互聯網連接将主要用于營銷研究或其他類似活動。因此,共享互聯網連接的人在網上賺錢的同時也成爲了被營銷的對象。
使用帶寬共享聲明
但情況真如此嗎?爲了檢查和了解潛在用戶加入此類程序可能面臨的風險,我們記錄并分析了來自幾個不同網絡帶寬共享服務的大量出口節點 ( 出口節點是安裝了這些網絡帶寬共享服務的計算機 ) 的網絡流量。
從 2022 年 1 月至 9 月,我們記錄了來自這些被動收入公司的出口節點的流量,并檢查了通過出口節點輸送的流量的性質。
首先,我們發現,來自其他應用程序合作夥伴的流量被輸送到我們的出口節點,并且大部分流量是合法的。我們看到了正常的流量,例如浏覽新聞網站、收聽新聞流,甚至浏覽在線購物網站。然而,我們也發現了一些可疑的聯系。這些聯系表明,一些用戶在某些國家從事可疑或可能非法的活動。
可疑活動的摘要如下表所示。我們根據相似性來組織這些活動,并指出我們觀察到這些活動的代理網絡。
在大多數情況下,應用程序發布者可能不會對使用其代理服務的第三方的可疑或惡意活動承擔法律責任。然而,那些安裝了 " 網絡帶寬共享 " 應用程序的人無法控制甚至監控通過其出口節點的流量類型。因此,這些網絡共享應用程序被歸類爲風險程序應用程序,我們稱之爲 proxyware。
proxyware 的可疑活動
上表概述了我們觀察到的惡意和可疑活動,本節将進一步詳細介紹這些活動。
我們觀察到多個自動訪問第三方 SMS PVA 提供商的實例。什麽是 SMS PVA 服務?我們寫了一篇關于 SMS PVA 服務以及它們經常被錯誤使用的博客。SMS PVA 服務是基于遍布各個國家的數千部被入侵的智能手機。有了這項服務 ,SMS PVA 用戶可以精确地注冊國家一級的賬戶 , 因此可以使用假裝來自目标國家的虛假賬戶發起活動。簡而言之,這些服務通常用于在線服務中的批量注冊帳戶。爲什麽人們經常将它們與代理結合使用?這些帳戶通常綁定到特定的地理位置或地區,并且該位置或地區必須與注冊過程中使用的電話号碼相匹配。因此,SMS PVA 服務的用戶希望他們的出口 IP 地址與号碼的位置相匹配,并且有時使用特定的服務(在服務僅在特定區域可訪問的情況下)。
這些大量注冊的賬戶(由住宅代理和 SMS PVA 服務提供幫助)通常被用于各種可疑的操作:針對個人用戶的社會工程和欺詐,以及濫用各種在線業務的注冊和促銷活動,可能導緻數千美元的經濟損失。
潛在的點擊欺詐是我們從這些網絡中觀察到的另一種類型的活動。做點擊欺詐或靜默廣告網站,就是利用裝有 " 被動收入 " 程序的電腦作爲出口節點,在後台 " 點擊 " 廣告。廣告商必須爲無效點擊付費 ( 沒有人真正看到廣告 ) ,網絡流量看起來幾乎與普通用戶在家點擊廣告相同。
SQL 注入是一種常見的安全掃描,它試圖利用用戶輸入驗證漏洞來轉儲、删除或修改數據庫内容。有許多工具可以自動執行此任務。然而,在許多國家,未經适當授權進行安全掃描和未經網站所有者書面許可進行 SQL 注入掃描都是犯罪活動,可能會被起訴。我們觀察到許多試圖從許多 " 被動收入 " 程序中探測 SQL 注入漏洞的嘗試。這種流量是有風險的,分享他們的連接的用戶可能會被卷入法律調查。
我們觀察到的另一組具有類似風險的類似活動是工具掃描。這些掃描試圖利用各種漏洞訪問 /etc/passwd 文件,如果成功,則表明系統易受任意文件暴露的攻擊,并允許攻擊者獲取服務器上的密碼文件。黑客利用此類程序漏洞從易受攻擊的網站檢索任意文件。不用說,在沒有服務器所有者的書面許可的情況下進行此類活動是非法的。
爬取政府網站可能根本不違法,通常存在一些合理使用條款,要求用戶不要同時提出過多的查詢,許多網站通過使用驗證碼服務來使用技術手段來防止大量爬行。我們觀察到使用反驗證碼工具的自動化工具在試圖訪問政府網站時繞過這些限制。我們也見過從律師事務所和法院網站抓取法律文件的爬蟲程序。
對個人身份信息(PII)的抓取在所有國家都可能是非法的,但這種行爲值得懷疑,因爲我們不知道這些信息後來會被濫用。在研究中,我們看到一個可疑的爬蟲大量下載巴西公民的信息。這些信息包括姓名、出生日期、性别和 CPF(相當于國家 SSN)。顯然,如果對此類活動進行調查," 被動收入 " 程序用戶将是第一個接觸點,因爲登錄這些網站的将是他們的 IP 地址。
注冊了大量社交媒體賬号的人可以将其用于多種用途,例如網絡垃圾郵件、詐騙活動以及傳播錯誤信息和宣傳假新聞的木馬。此類賬戶也經常被用來對商品和服務進行虛假評價。在收集的流量中,我們看到 TikTok 賬戶注冊了非常規電子郵件地址。盡管這本身并不違法,但安裝了 " 被動收入 " 程序的用戶可能會被要求證明自己的身份,或者在正常浏覽活動中通過更多的 " 驗證你是人類 " 測試。這是因爲有太多來自其家庭 IP 的注冊帳戶,他們可能被誤認爲與這些活動有關聯。
如果你認爲這些例子沒有說服力,那麽在 2017 年,一名俄羅斯公民被逮捕并被指控恐怖主義。此人正在運行 Tor 出口節點,有人利用它在反政府抗議期間發布支持暴力的信息。Proxyware 類似于 Tor 出口節點,因爲兩者都将流量從一個用戶引導到另一個用戶。這個例子說明了如果你不知道使用你的計算機作爲出口節點的人在做什麽,你會給自己帶來多大的麻煩。
其他未經用戶同意運行的 proxyware 變體
在研究過程中,我們還發現了一組多餘的應用程序,它們是作爲自由程序工具分發的。然而,在我們看來,這些應用程序正在秘密地将用戶的設備轉變爲代理節點。這些應用程序似乎在設備上安裝了 Proxyware 功能,比如 Globalhop SDK,但沒有明确通知用戶他們的設備将被用作被動出口節點。一些最終用戶許可協議 ( EULA ) 文件可能會明确提到包含 Globalhop SDK 或應用程序的出口節點功能,而其他文件則沒有。但是,在我們看來,僅在 eula ( 很少有用戶會閱讀的文件 ) 中包含通知并不能向用戶提供公平的通知,即安裝應用程序将導緻未知第三方使用他們的設備作爲出口節點。
剪貼闆管理器的 EULA 告訴用戶它包含具有 " 代理利用功能 " 的 SDK,并且用戶同意 " 共享部分互聯網 "。
無論哪種情況,此類程序仍然會給用戶帶來風險," 被動收入 " 隻會支付給應用程序開發者。程序用戶隻能享受免費程序本身而沒有 " 被動收入 "。此類程序的例子包括:
Walliant ——一款自動壁紙更換程序;
Decacopy 剪貼闆管理程序——一個用于存儲用戶最近複制粘貼的内容的程序;
EasyAsVPN ——通常由欺騙用戶安裝的額外程序;
Taskbar System ——一個改變任務欄顔色的應用程序;
Relevant Knowledge ——廣告程序;
RestMinder ——一個提醒用戶休息的鬧鍾程序;
Viewndow ——固定選定應用程序窗口的程序;
Saferternet ——基于 DNS 的網絡過濾程序。
這些代理網絡産生的網絡流量類似于 " 被動收入 " 程序産生的流量,因爲這兩種類型的程序都是其提供商的出口節點。我們觀察到以下惡意 / 有争議的活動。
總結
我們在本文中介紹了借着 " 網絡帶寬共享 " 的幌子實施 " 被動收入 " 程序如何使用其安裝基地的住宅 IP 作爲出口節點,以及惡意和可疑網絡流量可能給用戶帶來的風險。
通過允許匿名人員将你的計算機用作出口節點,如果他們執行非法、濫用或與攻擊相關的操作,你将承擔最大的風險。這就是爲什麽我們不建議參加這樣的計劃。
" 被動收入 " 提供商可能制定了某些自我約束的政策,但我們沒有看到任何證據表明這些提供商對路由到出口節點的流量進行監管。如果他們這樣做了,那麽我們看到的非常明顯的 SQL 注入流量應該已經被過濾掉了。如果這些提供商希望改進其策略,我們建議他們更加坦率地向程序用戶表明,因爲他們沒權利控制其客戶的行爲。
有一些措施可以确保攻擊和濫用受到限制,例如嚴格執行流量掃描、證書測試和其他技術,但執行這些策略是關鍵。我們就這些問題聯系過的一些應用發行商回應稱,他們通過應用合作夥伴的 KYC ( know-your-customer ) 實踐來保護用戶。這提供了一些保護,防止濫用作爲出口節點的設備,然而,這些政策可以被僞造,或者客戶可以找到規避它們的方法。
總而言之,這些應用程序的潛在用戶,特别是在 proxyware 服務的當前實現下,需要意識到他們正在将自己暴露在未知的風險中,以換取不确定和可能不穩定的潛在 " 被動收入 "。以下是一些防範上述風險的安全措施:
1. 了解 " 被動收入 " 程序的風險,并考慮将其從筆記本電腦、台式機和移動設備中删除。
2. 建議公司 IT 員工檢查并删除公司計算機中的 " 被動收入 " 程序。
3. 安裝專業保護套件,因爲這些産品已将本文中列出的應用程序列爲 Riskware。這些産品還阻止 " 被動收入 " 應用程序下載惡意應用程序。
