標題：Proxyware應用程序如何劫持你的網絡

為了竊取用戶網絡，攻擊者會誘導用戶安裝proxyware程序，該程序會將設備的可用互聯網帶寬分配為代理服務器，這樣攻擊者可以將其用於各種任務，如測試、情報收集、內容分發或市場研究。

作為共享網絡的回報，安裝proxyware程序的用戶可以從向客戶收取的費用中獲得抽成。例如，Peer2Profit服務顯示，用戶通過在數千台設備上安裝該公司的程序，每月最高可以賺到6000美元。

趨勢科技的研究人員最近分析了幾個著名的“被動收入”應用程序，發現這些程序可能存在安全風險。所謂被動收入(Passive Income)，就是不需要花費多少時間和精力，也不需要照看，就可以自動獲得的收入。說白了就是不勞而獲，躺著賺錢！

網上有很多教人們如何通過共享閒置的計算能力或未使用的網絡帶寬來獲得“被動收入”。當用戶在他們的計算機上安裝這樣的程序時，不管願不願意，系統就會成為分佈式網絡的代理。這個分佈式網絡的運營商可以通過向其付費客戶銷售代理服務來賺錢。

儘管託管“被動收入”程序的網站會強調合法其自身的合法性，但我們發現此類程序可能會給下載者帶來安全風險。這是因為這些代理服務的一些付費客戶可能將其用於不道德甚至非法的目的。

在本文中，我們研究了幾個著名的“被動收入”應用程序，這些應用程序將會把它們的計算機變成住宅IP代理，這些代理被賣給客戶，用作“住宅IP代理”。這些應用程序通常通過推薦程序進行推廣，目前許多著名的YouTube和博客都在推廣他們。

我們還調查了將“被動收入”應用程序與第三方庫捆綁在一起的可疑開發商。這意味著並下載者不知道“被動收入”應用程序，而這些收入實際上都流向了開發者。這意味著，用戶無法控制使用其家庭/移動IP地址執行的活動。

通過共享未使用的帶寬就可以輕鬆在線賺錢？在博客和YouTube網站上有很多帖子教人們如何通過簡單的教程獲得“被動收入”。這些教程的開發者通常通過推薦來賺錢，並同時推廣幾個“被動收入”應用程序。

使用“網絡帶寬共享”盈利方案的公司包括HoneyGain、TraffMonitizer、Peer2Profit、PacketStream和IPRoyal Pawns等。這些公司為用戶提供了一種通過下載和運行他們的程序代理來被動地在線賺錢的方式。通常情況下，用戶將分享他們的連接並獲得積分，這些積分之後可以轉換成實際的貨幣。

公司通過共享網絡來宣傳被動收入

尋求收入的人將下載該程序來分享他們的帶寬並賺錢，但這些公司將帶寬賣給需要住宅代理服務的客戶。該公司網站列出了一些人們可能需要代理服務的原因：人口統計研究、繞開賭博和淘便宜貨的地理限制，或者出於隱私原因，等等。

這些公司很容易找到，在谷歌上簡單搜索“被動收入未使用帶寬”，立即產生IPRoyal Pawns, Honeygain, PacketStream, Peer2Profit, EarnApp和Traffmonetizer等名稱。一些人在論壇和討論區甚至建議同時安裝多個應用程序來賺更多的錢，或者運行多個虛擬機來增加潛在的利潤。

Quora上關於如何增加被動收入的帖子

與普通用戶相比，共享帶寬在被動收入中所佔的比例可能還不是最大的。根據一個博主分享的文章，推薦在博主收入中所佔的比例甚至更大(在這個圖表中超過50%)。

從被動收入、流量共享應用程序中獲得的收入佔比

儘管上圖中的數字顯而易見，但這位博主聲稱他每月大約賺20美元。但是用戶並不能保證能夠定期獲得如此低水平的收益。而且，作為這種不確定收入的交換，用戶被要求定期接受未知水平的風險。

劫持是怎麼發生的？這些“網絡帶寬共享”服務聲稱，用戶的互聯網連接將主要用於營銷研究或其他類似活動。因此，共享互聯網連接的人在網上賺錢的同時也成為了被營銷的對象。

使用帶寬共享聲明

但情況真如此嗎？為了檢查和了解潛在用戶加入此類程序可能面臨的風險，我們記錄並分析了來自幾個不同網絡帶寬共享服務的大量出口節點(出口節點是安裝了這些網絡帶寬共享服務的計算機)的網絡流量。

從2022年1月至9月，我們記錄了來自這些被動收入公司的出口節點的流量，並檢查了通過出口節點輸送的流量的性質。

首先，我們發現，來自其他應用程序合作夥伴的流量被輸送到我們的出口節點，並且大部分流量是合法的。我們看到了正常的流量，例如瀏覽新聞網站、收聽新聞流，甚至瀏覽在線購物網站。然而，我們也發現了一些可疑的聯繫。這些聯繫表明，一些用戶在某些國家從事可疑或可能非法的活動。

可疑活動的摘要如下表所示。我們根據相似性來組織這些活動，並指出我們觀察到這些活動的代理網絡。

在大多數情況下，應用程序發布者可能不會對使用其代理服務的第三方的可疑或惡意活動承擔法律責任。然而，那些安裝了“網絡帶寬共享”應用程序的人無法控制甚至監控通過其出口節點的流量類型。因此，這些網絡共享應用程序被歸類為風險程序應用程序，我們稱之為proxyware。

proxyware的可疑活動上表概述了我們觀察到的惡意和可疑活動，本節將進一步詳細介紹這些活動。

我們觀察到多個自動訪問第三方SMS PVA提供商的實例。什麼是SMS PVA服務？我們寫了一篇關於SMS PVA服務以及它們經常被錯誤使用的博客。 SMS PVA 服務是基於遍布各個國家的數千部被入侵的智能手機。有了這項服務,SMS PVA 用戶可以精確地註冊國家一級的賬戶,因此可以使用假裝來自目標國家的虛假賬戶發起活動。簡而言之，這些服務通常用於在線服務中的批量註冊帳戶。為什麼人們經常將它們與代理結合使用？這些帳戶通常綁定到特定的地理位置或地區，並且該位置或地區必須與註冊過程中使用的電話號碼相匹配。因此，SMS PVA服務的用戶希望他們的出口IP地址與號碼的位置相匹配，並且有時使用特定的服務（在服務僅在特定區域可訪問的情況下）。

這些大量註冊的賬戶（由住宅代理和SMS PVA服務提供幫助）通常被用於各種可疑的操作：針對個人用戶的社會工程和欺詐，以及濫用各種在線業務的註冊和促銷活動，可能導致數千美元的經濟損失。

潛在的點擊欺詐是我們從這些網絡中觀察到的另一種類型的活動。做點擊欺詐或靜默廣告網站，就是利用裝有“被動收入”程序的電腦作為出口節點，在後台“點擊”廣告。廣告商必須為無效點擊付費(沒有人真正看到廣告)，網絡流量看起來幾乎與普通用戶在家點擊廣告相同。

SQL注入是一種常見的安全掃描，它試圖利用用戶輸入驗證漏洞來轉儲、刪除或修改數據庫內容。有許多工具可以自動執行此任務。然而，在許多國家，未經適當授權進行安全掃描和未經網站所有者書面許可進行SQL注入掃描都是犯罪活動，可能會被起訴。我們觀察到許多試圖從許多“被動收入”程序中探測SQL注入漏洞的嘗試。這種流量是有風險的，分享他們的連接的用戶可能會被捲入法律調查。

我們觀察到的另一組具有類似風險的類似活動是工具掃描。這些掃描試圖利用各種漏洞訪問/etc/passwd文件，如果成功，則表明系統易受任意文件暴露的攻擊，並允許攻擊者獲取服務器上的密碼文件。黑客利用此類程序漏洞從易受攻擊的網站檢索任意文件。不用說，在沒有服務器所有者的書面許可的情況下進行此類活動是非法的。

爬取政府網站可能根本不違法，通常存在一些合理使用條款，要求用戶不要同時提出過多的查詢，許多網站通過使用驗證碼服務來使用技術手段來防止大量爬行。我們觀察到使用反驗證碼工具的自動化工具在試圖訪問政府網站時繞過這些限制。我們也見過從律師事務所和法院網站抓取法律文件的爬蟲程序。

對個人身份信息（PII）的抓取在所有國家都可能是非法的，但這種行為值得懷疑，因為我們不知道這些信息後來會被濫用。在研究中，我們看到一個可疑的爬蟲大量下載巴西公民的信息。這些信息包括姓名、出生日期、性別和CPF（相當於國家SSN）。顯然，如果對此類活動進行調查，“被動收入”程序用戶將是第一個接觸點，因為登錄這些網站的將是他們的IP地址。

註冊了大量社交媒體賬號的人可以將其用於多種用途，例如網絡垃圾郵件、詐騙活動以及傳播錯誤信息和宣傳假新聞的木馬。此類賬戶也經常被用來對商品和服務進行虛假評價。在收集的流量中，我們看到TikTok賬戶註冊了非常規電子郵件地址。儘管這本身並不違法，但安裝了“被動收入”程序的用戶可能會被要求證明自己的身份，或者在正常瀏覽活動中通過更多的“驗證你是人類”測試。這是因為有太多來自其家庭IP的註冊帳戶，他們可能被誤認為與這些活動有關聯。

如果你認為這些例子沒有說服力，那麼在2017年，一名俄羅斯公民被逮捕並被指控恐怖主義。此人正在運行Tor出口節點，有人利用它在反政府抗議期間發布支持暴力的信息。 Proxyware類似於Tor出口節點，因為兩者都將流量從一個用戶引導到另一個用戶。這個例子說明瞭如果你不知道使用你的計算機作為出口節點的人在做什麼，你會給自己帶來多大的麻煩。

其他未經用戶同意運行的proxyware變體在研究過程中，我們還發現了一組多餘的應用程序，它們是作為自由程序工具分發的。然而，在我們看來，這些應用程序正在秘密地將用戶的設備轉變為代理節點。這些應用程序似乎在設備上安裝了Proxyware功能，比如Globalhop SDK，但沒有明確通知用戶他們的設備將被用作被動出口節點。一些最終用戶許可協議(EULA)文件可能會明確提到包含Globalhop SDK或應用程序的出口節點功能，而其他文件則沒有。但是，在我們看來，僅在eula(很少有用戶會閱讀的文件)中包含通知並不能向用戶提供公平的通知，即安裝應用程序將導致未知第三方使用他們的設備作為出口節點。

剪貼板管理器的EULA告訴用戶它包含具有“代理利用功能”的SDK，並且用戶同意“共享部分互聯網”。

無論哪種情況，此類程序仍然會給用戶帶來風險，“被動收入”只會支付給應用程序開發者。程序用戶只能享受免費程序本身而沒有“被動收入”。此類程序的例子包括：

Walliant——一款自動壁紙更換程序；

Decacopy剪貼板管理程序——一個用於存儲用戶最近複製粘貼的內容的程序；

EasyAsVPN——通常由欺騙用戶安裝的額外程序；

Taskbar System——一個改變任務欄顏色的應用程序；

Relevant Knowledge——廣告程序；

RestMinder——一個提醒用戶休息的鬧鐘程序；

Viewndow——固定選定應用程序窗口的程序；

Saferternet——基於DNS的網絡過濾程序。

這些代理網絡產生的網絡流量類似於“被動收入”程序產生的流量，因為這兩種類型的程序都是其提供商的出口節點。我們觀察到以下惡意/有爭議的活動。

總結我們在本文中介紹了藉著“網絡帶寬共享”的幌子實施“被動收入”程序如何使用其安裝基地的住宅IP作為出口節點，以及惡意和可疑網絡流量可能給用戶帶來的風險。

通過允許匿名人員將你的計算機用作出口節點，如果他們執行非法、濫用或與攻擊相關的操作，你將承擔最大的風險。這就是為什麼我們不建議參加這樣的計劃。

“被動收入”提供商可能製定了某些自我約束的政策，但我們沒有看到任何證據表明這些提供商對路由到出口節點的流量進行監管。如果他們這樣做了，那麼我們看到的非常明顯的SQL注入流量應該已經被過濾掉了。如果這些提供商希望改進其策略，我們建議他們更加坦率地向程序用戶表明，因為他們沒權利控制其客戶的行為。

有一些措施可以確保攻擊和濫用受到限制，例如嚴格執行流量掃描、證書測試和其他技術，但執行這些策略是關鍵。我們就這些問題聯繫過的一些應用發行商回應稱，他們通過應用合作夥伴的KYC (know-your-customer)實踐來保護用戶。這提供了一些保護，防止濫用作為出口節點的設備，然而，這些政策可以被偽造，或者客戶可以找到規避它們的方法。

總而言之，這些應用程序的潛在用戶，特別是在proxyware服務的當前實現下，需要意識到他們正在將自己暴露在未知的風險中，以換取不確定和可能不穩定的潛在“被動收入”。以下是一些防範上述風險的安全措施：

1.了解“被動收入”程序的風險，並考慮將其從筆記本電腦、台式機和移動設備中刪除。

2.建議公司IT員工檢查並刪除公司計算機中的“被動收入”程序。

3.安裝專業保護套件，因為這些產品已將本文中列出的應用程序列為Riskware。這些產品還阻止“被動收入”應用程序下載惡意應用程序。