Скачали бесплатный VPN на Android или Windows? Миллион установок и 34 тысячи отзывов не спасли WireVPN от шпионского скандала

leer en español

4957
Скачали бесплатный VPN на Android или Windows? Миллион установок и 34 тысячи отзывов не спасли WireVPN от шпионского скандала

Защита личных данных стала прикрытием для крупной аферы.

image

Домены, похожие на настоящие сайты популярных программ, снова оказались не просто приманкой для установки вредоносного ПО, а входом в более крупную схему по продаже чужого интернет-трафика. Специалисты Infoblox связали поддельный установщик 7-Zip с многолетней операцией Lurking Lizard, в которой заражённые устройства превращали в узлы резидентной прокси-сети.

Резидентные прокси позволяют пропускать чужой трафик через обычные домашние или пользовательские устройства, чтобы внешне соединение выглядело как запрос от реального абонента. В начале 2026 года злоумышленники заманивали пользователей на 7zip[.]com вместо настоящего сайта 7-zip[.]org. Установщик работал достаточно правдоподобно, чтобы жертва не спешила удалять программу, но параллельно подключал устройство к прокси-инфраструктуре.

Infoblox выяснила, что кампания с 7-Zip была лишь заметной частью схемы. Через DNS, WHOIS и анализ инфраструктуры специалисты нашли более 230 связанных доменов. Среди них были поддельные сайты популярных VPN-сервисов, сервисов виртуальных телефонных номеров, страниц загрузки, проверок IP-адреса и даже витрин прокси-провайдеров. Отдельные домены имитировали IPIDEA, SmartProxy, IP Royal и 911Proxy, а smartproxy[.]org, по данным Infoblox, принадлежал не настоящему Smartproxy, а Lurking Lizard.

Связать разные кампании помогла встроенная в образцы ссылка IPLogger. Вредоносные программы обращались к ней без видимого для пользователя результата, но такой запрос позволял собирать сведения о жертве, включая IP-адрес, геолокацию, тип устройства и браузер. Та же метка встречалась в образцах с 2022 года, включая ложные загрузчики видео и более новые варианты под брендом WireVPN.

Новая активность, по оценке Infoblox, связана именно с WireVPN. Windows-образцы использовали похожую структуру файлов, создавали правила брандмауэра через netsh и закреплялись в системе через реестр. При запуске клиент проверял множество IP-адресов по всему миру и устанавливал несколько одновременных соединений с доменами WireVPN и внешне нейтральными хостами, которые вели к общей инфраструктуре Lurking Lizard.

Такое поведение больше похоже не на обычный VPN, а на участие устройства в распределённой прокси-сети, хотя специалисты отдельно указали, что полная характеристика трафика требует дальнейшего анализа.

Мобильные приложения WireVPN тоже попали в поле зрения Infoblox. Версии для Apple App Store и Google Play связаны с тем же доменом wirevpn[.]app, а Android-версия на момент публикации имела более 1 млн загрузок и свыше 34 тысяч отзывов. При этом специалисты анализировали Windows-образцы и не утверждают, что мобильные приложения выполняют те же действия.

Итогом стала не история об одной поддельной программе, а картина полноценной прокси-экономики, где одни домены привлекают жертв, другие продают доступ к узлам, а отдельные сайты с обзорами подталкивают клиентов к нужным сервисам.