Proxyware应用程序如何劫持你的网络

为了窃取用户网络，攻击者会诱导用户安装proxyware程序，该程序会将设备的可用互联网带宽分配为代理服务器，这样攻击者可以将其用于各种任务，如测试、情报收集、内容分发或市场研究。

作为共享网络的回报，安装proxyware程序的用户可以从向客户收取的费用中获得抽成。例如，Peer2Profit服务显示，用户通过在数千台设备上安装该公司的程序，每月最高可以赚到6000美元。

趋势科技的研究人员最近分析了几个著名的“被动收入”应用程序，发现这些程序可能存在安全风险。所谓被动收入(Passive Income)，就是不需要花费多少时间和精力，也不需要照看，就可以自动获得的收入。说白了就是不劳而获，躺着赚钱！

网上有很多教人们如何通过共享闲置的计算能力或未使用的网络带宽来获得“被动收入”。当用户在他们的计算机上安装这样的程序时，不管愿不愿意，系统就会成为分布式网络的代理。这个分布式网络的运营商可以通过向其付费客户销售代理服务来赚钱。

尽管托管“被动收入”程序的网站会强调合法其自身的合法性，但我们发现此类程序可能会给下载者带来安全风险。这是因为这些代理服务的一些付费客户可能将其用于不道德甚至非法的目的。

在本文中，我们研究了几个著名的“被动收入”应用程序，这些应用程序将会把它们的计算机变成住宅IP代理，这些代理被卖给客户，用作“住宅IP代理”。这些应用程序通常通过推荐程序进行推广，目前许多著名的YouTube和博客都在推广他们。

我们还调查了将“被动收入”应用程序与第三方库捆绑在一起的可疑开发商。这意味着并下载者不知道“被动收入”应用程序，而这些收入实际上都流向了开发者。这意味着，用户无法控制使用其家庭/移动IP地址执行的活动。

通过共享未使用的带宽就可以轻松在线赚钱？

在博客和YouTube网站上有很多帖子教人们如何通过简单的教程获得“被动收入”。这些教程的开发者通常通过推荐来赚钱，并同时推广几个“被动收入”应用程序。

使用“网络带宽共享”盈利方案的公司包括HoneyGain、TraffMonitizer、Peer2Profit、PacketStream和IPRoyal Pawns等。这些公司为用户提供了一种通过下载和运行他们的程序代理来被动地在线赚钱的方式。通常情况下，用户将分享他们的连接并获得积分，这些积分之后可以转换成实际的货币。

公司通过共享网络来宣传被动收入

寻求收入的人将下载该程序来分享他们的带宽并赚钱，但这些公司将带宽卖给需要住宅代理服务的客户。该公司网站列出了一些人们可能需要代理服务的原因：人口统计研究、绕开赌博和淘便宜货的地理限制，或者出于隐私原因，等等。

这些公司很容易找到，在谷歌上简单搜索“被动收入未使用带宽”，立即产生IPRoyal Pawns, Honeygain, PacketStream, Peer2Profit, EarnApp和Traffmonetizer等名称。一些人在论坛和讨论区甚至建议同时安装多个应用程序来赚更多的钱，或者运行多个虚拟机来增加潜在的利润。

Quora上关于如何增加被动收入的帖子

与普通用户相比，共享带宽在被动收入中所占的比例可能还不是最大的。根据一个博主分享的文章，推荐在博主收入中所占的比例甚至更大(在这个图表中超过50%)。

从被动收入、流量共享应用程序中获得的收入占比

尽管上图中的数字显而易见，但这位博主声称他每月大约赚20美元。但是用户并不能保证能够定期获得如此低水平的收益。而且，作为这种不确定收入的交换，用户被要求定期接受未知水平的风险。

劫持是怎么发生的？

这些“网络带宽共享”服务声称，用户的互联网连接将主要用于营销研究或其他类似活动。因此，共享互联网连接的人在网上赚钱的同时也成为了被营销的对象。

使用带宽共享声明

但情况真如此吗？为了检查和了解潜在用户加入此类程序可能面临的风险，我们记录并分析了来自几个不同网络带宽共享服务的大量出口节点(出口节点是安装了这些网络带宽共享服务的计算机)的网络流量。

从2022年1月至9月，我们记录了来自这些被动收入公司的出口节点的流量，并检查了通过出口节点输送的流量的性质。

首先，我们发现，来自其他应用程序合作伙伴的流量被输送到我们的出口节点，并且大部分流量是合法的。我们看到了正常的流量，例如浏览新闻网站、收听新闻流，甚至浏览在线购物网站。然而，我们也发现了一些可疑的联系。这些联系表明，一些用户在某些国家从事可疑或可能非法的活动。

可疑活动的摘要如下表所示。我们根据相似性来组织这些活动，并指出我们观察到这些活动的代理网络。

在大多数情况下，应用程序发布者可能不会对使用其代理服务的第三方的可疑或恶意活动承担法律责任。然而，那些安装了“网络带宽共享”应用程序的人无法控制甚至监控通过其出口节点的流量类型。因此，这些网络共享应用程序被归类为风险程序应用程序，我们称之为proxyware。

proxyware的可疑活动

上表概述了我们观察到的恶意和可疑活动，本节将进一步详细介绍这些活动。

我们观察到多个自动访问第三方SMS PVA提供商的实例。什么是SMS PVA服务？我们写了一篇关于SMS PVA服务以及它们经常被错误使用的博客。SMS PVA 服务是基于遍布各个国家的数千部被入侵的智能手机。有了这项服务,SMS PVA 用户可以精确地注册国家一级的账户,因此可以使用假装来自目标国家的虚假账户发起活动。简而言之，这些服务通常用于在线服务中的批量注册帐户。为什么人们经常将它们与代理结合使用？这些帐户通常绑定到特定的地理位置或地区，并且该位置或地区必须与注册过程中使用的电话号码相匹配。因此，SMS PVA服务的用户希望他们的出口IP地址与号码的位置相匹配，并且有时使用特定的服务（在服务仅在特定区域可访问的情况下）。

这些大量注册的账户（由住宅代理和SMS PVA服务提供帮助）通常被用于各种可疑的操作：针对个人用户的社会工程和欺诈，以及滥用各种在线业务的注册和促销活动，可能导致数千美元的经济损失。

潜在的点击欺诈是我们从这些网络中观察到的另一种类型的活动。做点击欺诈或静默广告网站，就是利用装有“被动收入”程序的电脑作为出口节点，在后台“点击”广告。广告商必须为无效点击付费(没有人真正看到广告)，网络流量看起来几乎与普通用户在家点击广告相同。

SQL注入是一种常见的安全扫描，它试图利用用户输入验证漏洞来转储、删除或修改数据库内容。有许多工具可以自动执行此任务。然而，在许多国家，未经适当授权进行安全扫描和未经网站所有者书面许可进行SQL注入扫描都是犯罪活动，可能会被起诉。我们观察到许多试图从许多“被动收入”程序中探测SQL注入漏洞的尝试。这种流量是有风险的，分享他们的连接的用户可能会被卷入法律调查。

我们观察到的另一组具有类似风险的类似活动是工具扫描。这些扫描试图利用各种漏洞访问/etc/passwd文件，如果成功，则表明系统易受任意文件暴露的攻击，并允许攻击者获取服务器上的密码文件。黑客利用此类程序漏洞从易受攻击的网站检索任意文件。不用说，在没有服务器所有者的书面许可的情况下进行此类活动是非法的。

爬取政府网站可能根本不违法，通常存在一些合理使用条款，要求用户不要同时提出过多的查询，许多网站通过使用验证码服务来使用技术手段来防止大量爬行。我们观察到使用反验证码工具的自动化工具在试图访问政府网站时绕过这些限制。我们也见过从律师事务所和法院网站抓取法律文件的爬虫程序。

对个人身份信息（PII）的抓取在所有国家都可能是非法的，但这种行为值得怀疑，因为我们不知道这些信息后来会被滥用。在研究中，我们看到一个可疑的爬虫大量下载巴西公民的信息。这些信息包括姓名、出生日期、性别和CPF（相当于国家SSN）。显然，如果对此类活动进行调查，“被动收入”程序用户将是第一个接触点，因为登录这些网站的将是他们的IP地址。

注册了大量社交媒体账号的人可以将其用于多种用途，例如网络垃圾邮件、诈骗活动以及传播错误信息和宣传假新闻的木马。此类账户也经常被用来对商品和服务进行虚假评价。在收集的流量中，我们看到TikTok账户注册了非常规电子邮件地址。尽管这本身并不违法，但安装了“被动收入”程序的用户可能会被要求证明自己的身份，或者在正常浏览活动中通过更多的“验证你是人类”测试。这是因为有太多来自其家庭IP的注册帐户，他们可能被误认为与这些活动有关联。

如果你认为这些例子没有说服力，那么在2017年，一名俄罗斯公民被逮捕并被指控恐怖主义。此人正在运行Tor出口节点，有人利用它在反政府抗议期间发布支持暴力的信息。Proxyware类似于Tor出口节点，因为两者都将流量从一个用户引导到另一个用户。这个例子说明了如果你不知道使用你的计算机作为出口节点的人在做什么，你会给自己带来多大的麻烦。

其他未经用户同意运行的proxyware变体

在研究过程中，我们还发现了一组多余的应用程序，它们是作为自由程序工具分发的。然而，在我们看来，这些应用程序正在秘密地将用户的设备转变为代理节点。这些应用程序似乎在设备上安装了Proxyware功能，比如Globalhop SDK，但没有明确通知用户他们的设备将被用作被动出口节点。一些最终用户许可协议(EULA)文件可能会明确提到包含Globalhop SDK或应用程序的出口节点功能，而其他文件则没有。但是，在我们看来，仅在eula(很少有用户会阅读的文件)中包含通知并不能向用户提供公平的通知，即安装应用程序将导致未知第三方使用他们的设备作为出口节点。

剪贴板管理器的EULA告诉用户它包含具有“代理利用功能”的SDK，并且用户同意“共享部分互联网”。

无论哪种情况，此类程序仍然会给用户带来风险，“被动收入”只会支付给应用程序开发者。程序用户只能享受免费程序本身而没有“被动收入”。此类程序的例子包括：

Walliant——一款自动壁纸更换程序；

Decacopy剪贴板管理程序——一个用于存储用户最近复制粘贴的内容的程序；

EasyAsVPN——通常由欺骗用户安装的额外程序；

Taskbar System——一个改变任务栏颜色的应用程序；

Relevant Knowledge——广告程序；

RestMinder——一个提醒用户休息的闹钟程序；

Viewndow——固定选定应用程序窗口的程序；

Saferternet——基于DNS的网络过滤程序。

这些代理网络产生的网络流量类似于“被动收入”程序产生的流量，因为这两种类型的程序都是其提供商的出口节点。我们观察到以下恶意/有争议的活动。

总结

我们在本文中介绍了借着“网络带宽共享”的幌子实施“被动收入”程序如何使用其安装基地的住宅IP作为出口节点，以及恶意和可疑网络流量可能给用户带来的风险。

通过允许匿名人员将你的计算机用作出口节点，如果他们执行非法、滥用或与攻击相关的操作，你将承担最大的风险。这就是为什么我们不建议参加这样的计划。

“被动收入”提供商可能制定了某些自我约束的政策，但我们没有看到任何证据表明这些提供商对路由到出口节点的流量进行监管。如果他们这样做了，那么我们看到的非常明显的SQL注入流量应该已经被过滤掉了。如果这些提供商希望改进其策略，我们建议他们更加坦率地向程序用户表明，因为他们没权利控制其客户的行为。

有一些措施可以确保攻击和滥用受到限制，例如严格执行流量扫描、证书测试和其他技术，但执行这些策略是关键。我们就这些问题联系过的一些应用发行商回应称，他们通过应用合作伙伴的KYC (know-your-customer)实践来保护用户。这提供了一些保护，防止滥用作为出口节点的设备，然而，这些政策可以被伪造，或者客户可以找到规避它们的方法。

总而言之，这些应用程序的潜在用户，特别是在proxyware服务的当前实现下，需要意识到他们正在将自己暴露在未知的风险中，以换取不确定和可能不稳定的潜在“被动收入”。以下是一些防范上述风险的安全措施：

1.了解“被动收入”程序的风险，并考虑将其从笔记本电脑、台式机和移动设备中删除。

2.建议公司IT员工检查并删除公司计算机中的“被动收入”程序。

3.安装专业保护套件，因为这些产品已将本文中列出的应用程序列为Riskware。这些产品还阻止“被动收入”应用程序下载恶意应用程序。