Source: Free and Open Communications on the Internet (FOCI) 2025 – étude académique d’ASU/Citizen Lab/Bowdoin. Contexte: les auteurs analysent la transparence d’ownership et la sécurité de VPN Android très téléchargés, en identifiant des « familles » d’opérateurs dissimulés.

• L’étude regroupe trois familles de fournisseurs (A, B, C) totalisant plus de 700 millions de téléchargements sur Google Play. Elle confirme et étend des travaux de VPNPro et Tech Transparency Project reliant des marques comme Innovative Connecting, Autumn Breeze, Lemon Clove et d’autres à Qihoo 360 (sanctionné par le gouvernement américain en 2020), avec des structures d’ownership obfusquées (souvent présentées comme basées à Singapour).

• Les chercheurs utilisent des indices forensiques issus de fichiers APK, bibliothèques natives, artefacts réseau et dossiers d’entreprises pour lier des apps supposément distinctes à des opérateurs communs. Ils montrent la réutilisation de code, d’infrastructures serveur et même de matériaux cryptographiques (mêmes identifiants), fournissant une preuve technique de l’opération centralisée.

• Vulnérabilités majeures: plusieurs apps implémentent Shadowsocks avec des mots de passe codés en dur dans les APK. Conséquence critique: un attaquant capable d’écouter le trafic entre client et serveur peut déchiffrer l’intégralité du trafic des clients de ces apps. D’autres faiblesses incluent l’usage du chiffrement rc4-md5 (déprécié) et des réglages « plain » d’obfuscation, ainsi que des attaques blind in/on-path côté client facilitées par l’architecture Netfilter/redsocks/tun2socks.

• Pratiques discutables de collecte: certaines apps interrogent ip-api.com pour récupérer le code postal lié à l’adresse IP publique de l’utilisateur et le téléversent vers Firebase, alors que leurs politiques de confidentialité affirment ne pas collecter d’adresses.

• Infrastructures partagées et signatures: les familles partagent des serveurs (ex. hébergeur gthost), des bibliothèques natives (ex. libopvpnutil.so, libsslocal.so, libredsocks.so, libtun2socks.so, libcore.so, libxjp6xdkbew.so), et des fichiers/actifs caractéristiques (ex. server_offline.ser, aaa_new.png, cert.pem, proxy.builtin). Certaines apps permettent la « freeload » en réutilisant les mêmes identifiants pour se connecter à des serveurs d’autres marques de la même famille. L’article conclut à une publication de recherche visant à dévoiler à la fois les liens d’ownership et un ensemble de failles de sécurité systématiques.

IOC observables (extraits):

  • IP/Port: 149.28.197.166:443 (serveur Shadowsocks observé – Famille B)
  • Hébergeur: GlobalTeleHost Corp. (gthost) pour l’ensemble des serveurs de la Famille B
  • Bibliothèques/fichiers caractéristiques: libopvpnutil.so, libsslocal.so, libredsocks.so, libtun2socks.so, libcore.so, libxjp6xdkbew.so; assets/server_offline.ser, aaa_new.png, cert.pem, proxy.builtin, assets/jsd5xcyjr5w587dk5usn

TTPs notables:

  • Réutilisation de mots de passe codés en dur et de matériaux cryptographiques entre apps
  • Chiffrement faible/déprécié (rc4-md5) et obfuscation « plain »
  • Détournement du trafic via Netfilter + redsocks/tun2socks entraînant des attaques blind in/on-path (côté client)
  • Obfuscation et anti-reverse-engineering (clés construites dynamiquement, code natif)
  • Collecte non déclarée d’indicateurs de localisation via ip-api.com et envoi à Firebase

Type d’article: publication de recherche visant à documenter des liens d’ownership cachés et des vulnérabilités communes dans des apps VPN Android très diffusées.

🧠 TTPs et IOCs détectés

TTP

[‘Réutilisation de mots de passe codés en dur et de matériaux cryptographiques entre apps’, ‘Chiffrement faible/déprécié (rc4-md5) et obfuscation « plain »’, ‘Détournement du trafic via Netfilter + redsocks/tun2socks entraînant des attaques blind in/on-path (côté client)’, ‘Obfuscation et anti-reverse-engineering (clés construites dynamiquement, code natif)’, ‘Collecte non déclarée d’indicateurs de localisation via ip-api.com et envoi à Firebase’]

IOC

{‘ip_port’: ‘149.28.197.166:443’, ‘hébergeur’: ‘GlobalTeleHost Corp. (gthost)’, ‘bibliothèques_fichiers’: [’libopvpnutil.so’, ’libsslocal.so’, ’libredsocks.so’, ’libtun2socks.so’, ’libcore.so’, ’libxjp6xdkbew.so’, ‘assets/server_offline.ser’, ‘aaa_new.png’, ‘cert.pem’, ‘proxy.builtin’, ‘assets/jsd5xcyjr5w587dk5usn’]}

🔗 Source originale : https://citizenlab.ca/2025/08/hidden-links-analyzing-secret-families-of-vpn-apps/