Swing VPN — сервис для обхода блокировок от Limestone Software Solutions. Исследователь Лекроми заявил, что Android-версия приложения является DDoS-ботнетом.
Лекроми рассказал, что тестовый телефон постоянно отправлял запросы на определённый веб-сайт каждые 10 секунд. Расследование показало, что все запросы шли из приложения Swing VPN — они отправлялись на сайт, на который владелец гаджета никогда не заходил.
Эксперт установил, что сервис определяет настоящий IP-адрес пользователя сразу после принятия Политики конфиденциальности, анализирует возвращаемый с сайта HTML-код и идентифицирует IP-адреса из ответов — в основном для поиска файлов конфигурации для загрузки.
Далее Swing VPN отправляет запросы к двум разным файлам конфигурации из личной учётной записи Google Диска разработчика (они запрашиваются с определённых персональных серверов, нескольких репозиториев GitHub или аккаунтов Google Диска). Процесс инициализации завершается с подключением к рекламной сети для загрузки рекламы и сохранения данных в локальном кэше. Запросы VPN-сервиса идут на сайт Туркменских авиалиний.
«Поскольку поиск рейса довольно интенсивная задача, требующая большого количества баз данных и серверных ресурсов, ясно, что цель состоит в том, чтобы нагрузить сервер из ресурсов, чтобы обычные пользователи не могли получить к нему доступ, когда это необходимо», — пояснил Лекроми.
На сегодняшний день у приложения более 5 млн скачиваний на Android, что даёт потенциал атаки в полмиллиона запросов в секунду.
