ботнеты
От некоторых людей можно услышать такое мнение: «Зачем вообще платить за VPN-приложение? Ведь существует куча бесплатных VPN, бери да пользуйся!» В этом посте мы рассмотрим, что же не так с бесплатными VPN-сервисами, и посоветуем оптимальный способ подключить одно из самых быстрых и защищенных VPN-приложений в мире.
Часто говорят, что если вы не платите за товар, то, скорее всего, вы сами являетесь товаром. Это верно для многих интернет-сервисов, но особенно для VPN. Содержание кучи серверов по всему миру, которые пропускают через себя зашифрованный трафик многих тысяч или даже миллионов людей, стоит серьезных денег. И если пользователя не просят платить за эти услуги в явном виде — чаще всего где-то есть подвох. Недавно произошла пара масштабных событий, которые демонстрируют, в чем же он может состоять.
Халявный VPN и ботнет из 19 миллионов IP-адресов
В мае 2024 года ФБР в партнерстве с еще несколькими агентствами уничтожило ботнет под названием 911 S5. На момент операции эта вредоносная сеть состояла из 19 миллионов уникальных IP-адресов, расположенных в более чем 190 странах мира, — не исключено, что это был крупнейший из когда-либо созданных ботнетов.
Какое же отношение имеет гигантский ботнет к халявному VPN? Самое непосредственное: дело в том, что для организации 911 S5 его создатели использовали несколько бесплатных VPN-сервисов, а именно: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN и Shine VPN. Установленные пользователями этих сервисов приложения превращали их устройства в прокси-серверы, пропускающие через себя чужой трафик.
В свою очередь, эти прокси-серверы использовались для разного рода незаконной деятельности настоящими клиентами ботнета 911 S5 — то есть киберпреступниками, которые платили деньги организаторам вредоносной сети за доступ к ней. Таким образом пользователи бесплатных VPN-сервисов оказались невольными пособниками огромного количества различных преступлений — кибератак, отмывания денег, массового мошенничества и многого другого, ведь их устройства без ведома владельца стали частью мошеннического ботнета.
Цены на услуги по аренде прокси у ботнета 911 S5. Источник
Ботнет 911 S5 начал предоставлять свои вредоносные услуги в мае 2014 года. Причем бесплатные VPN-приложения, на которых он был построен, организаторы распространяли еще с 2011 года. В 2022 году правоохранителям удалось на некоторое время прекратить его работу, однако уже через пару месяцев он был перезапущен под другим названием — CloudRouter.
Наконец, в мае 2024 года ФБР удалось не только уничтожить инфраструктуру ботнета, но и арестовать его организаторов — так что на этом история 911 S5, вероятно, окончательно прекратится. Общая выручка создателей 911 S5 за время работы ботнета оценивается в $99 миллионов. Что касается последствий его деятельности, то лишь доказанная часть ущерба составляет несколько миллиардов долларов.
Захваченный ФБР сайт PaladinVPN — одного из бесплатных VPN-приложений, которые использовались для организации ботнета 911 S5
Зараженные VPN-приложения на Google Play
Описанный выше случай — самый масштабный, но далеко не единичный. Буквально за пару месяцев до него, в марте 2024 года, была обнаружена похожая схема с несколькими десятками приложений, опубликованных в Google Play.
Хотя среди них были в том числе и приложения другой направленности — альтернативные клавиатуры, лончеры и так далее, большую часть зараженных приложений составляли именно бесплатные VPN. Вот их полный список:
- Lite VPN
- Byte Blade VPN
- BlazeStride
- FastFly VPN
- FastFox VPN
- FastLine VPN
- Oko VPN
- Quick Flow VPN
- Sample VPN
- Secure Thunder
- ShineSecure VPN
- SpeedSurf
- SwiftShield VPN
- TurboTrack VPN
- TurboTunnel VPN
- YellowFlash VPN
- VPN Ultra
- Run VPN
Oko VPN и Run VPN до удаления из Google Play. Источник
Вариантов заражения было два. Более ранние версии приложений использовали библиотеку ProxyLib, превращающую устройства, на которых были установлены зараженные приложения, в прокси-серверы. В более свежих версиях же была использована SDK под названием LumiApps. Эта SDK обещает разработчикам приложений монетизацию через показ на устройстве скрытых страниц, но на самом деле делает ровно то же самое — превращает устройства в прокси-серверы.
Точно так же, как и в предыдущем случае, доступ к прокси-серверам, установленным на устройствах пользователей зараженных приложений, организаторы этой вредоносной кампании продавали другим киберпреступникам.
После публикации отчета зараженные VPN-приложения, разумеется, вычистили из магазина Google Play. Однако их все еще можно обнаружить в других местах. Например, на достаточно популярной альтернативной площадке для скачивания приложений APKPure (приложение которой несколько лет назад заразили трояном) они иногда представлены сразу в нескольких ипостасях, опубликованных от имени разных разработчиков.
Oko VPN, одно из зараженных VPN-приложений, выгнанных из Google Play, на альтернативной площадке существует в нескольких версиях
Что делать, если очень нужен VPN
Если очень нужно срочно воспользоваться VPN-сервисом для защиты вашего подключения, а на оплату нет времени, поможет бесплатный режим Kaspersky Secure Connection. В бесплатном режиме нельзя выбирать сервер и есть ограничение по трафику 300 Мбайт в день, но зато ваш трафик остается под надежной защитой, а ваше устройство — в безопасности.
Но более правильно, конечно же, приобрести подписку — в конце концов, VPN уже давно входит в набор приложений первой необходимости, которые должны быть у каждого. Премиум-доступ к Kaspersky Secure Connection можно приобрести отдельно или в составе подписок Kaspersky Plus и Kaspersky Premium. Так вы сможете пользоваться одним из самых быстрых в мире VPN на всех своих устройствах, а в дополнение к этому получите лучшую, по оценкам независимых исследователей, защиту от фишинга и других угроз.
Более того — вы можете воспользоваться 30-дневным триальным периодом этих подписок, чтобы бесплатно попробовать полную функциональность нашей защиты и VPN без ограничений и самим убедиться в том, что наш VPN — один из самых быстрых в мире.
Советы