Исследователи из компании Trend Micro сообщили,что VPN-плагин Hola на самом деле не скрывает трафик клиентов, и обвинили сервис в содействии киберпреступникам. По словам экспертов, их антивирусная система теперь будет блокировать программу как вредоносное ПО.

Создатели HolaVPN продвигают свой продукт как средство безопасного веб-серфинга с возможностью открывать заблокированные сайты. Программой пользуются более 160 млн человек. Сервис работает на бесплатной основе, но в обмен участники сообщества должны делиться друг с другом своими простаивающими сетевыми ресурсами по принципу P2P (peer-peer).

На практике это означает, что каждый хост становится роутером, через который проходит чужой трафик. Это и обеспечивает работу HolaVPN — клиенты получают обходной путь до заблокированного ресурса и затрудняют отслеживание своих данных, которые проходят по цепочке переадресаций.

Как следует из опубликованного исследования, на самом деле Hola нельзя считать VPN-сервисом. В отличие от других подобных решений, он не шифрует данные пользователей и оставляет открытыми их IP-адреса. Это позволяет злоумышленникам перехватывать информацию, а цензорам — отслеживать интернет-активность.

«Нормальный VPN-сервис направляет весь пользовательский трафик по зашифрованному туннелю, — пояснили эксперты. — [Без этих технологий] Hola можно назвать разве что службой веб-прокси».

Вторая часть обвинений связана с компанией Luminati, которая монетизирует сетевые ресурсы пользователей HolaVPN, предлагая их в аренду по цене до $10 тыс. в месяц. Анонимизированный интернет-доступ через миллионы хостов по всему миру позволяет рекламным сетям следить, чтобы их клиенты не нарушали правила размещения баннеров. Другие компании применяют эту технологию для тестирования веб-разработок и отслеживания конкурентной активности.

Исследователи указали, что этими услугами пользуются многие киберпреступники, скрывая таким образом нежелательную активность от защитных фильтров. Эксперты выяснили это, проанализировав 100 млн ссылок на 7 тыс. компьютеров с Hola.

По их словам, 80% трафика Luminati маскируется под сессии iOS- или Android-устройств, хотя на самом деле его создают компьютеры на базе Windows. Эксперты признают, что некоторая часть этих данных может быть связана с легитимными действиями — клиенты Luminati способны эмулировать посещение со смартфона, чтобы протестировать мобильный сайт или проверить, корректно ли настроены рекламные кампании.

Однако основная масса данных в этом потоке, по мнению специалистов, приходится на клик-фрод, когда недобросовестные рекламные площадки завышают прибыль, скликивая баннеры клиентов. Аналитики обнаружили множество совпадений в трафике Luminati и нескольких компаний, замеченных в рекламном мошенничестве. Среди них — японская Adrocks.biz и более мелкая прокси-служба Proxygate.

В рядах заказчиков Luminati также обнаружились компании, которые занимаются автоматическим сбором данных с онлайн-ресурсов. Многие сайты блокируют такие действия, чтобы защититься от конкурентов и не перегружать серверы сессиями ботов. Возможность использовать прокси для обхода этих запретов прямо указана на сайте Luminati, однако исследователи сомневаются, что пользователи HolaVPN одобрили бы такое использование их ресурсов.

Исследователи сообщили, что заказчики компании собирали персональные и кредитные данные, платный контент (научные журналы и публикации), материалы судов и правоохранительных органов, включая список разыскиваемых лиц Интерпола. Такой трафик занимает менее процента в сети Luminati, однако в абсолютных выражениях это означает десятки миллионов загрузок каждый день.

Услугами Luminati также пользуются спекулянты, которые скупают театральные билеты и дорогие товары для последующей перепродажи, фермы ботов, накручивающие подписчиков в социальных сетях, службы конкурентной разведки и взлома капчи. Эксперты отметили, что сервис может угрожать компаниям, сотрудники которых установят ПО Hola на рабочий компьютер. В этом случае незашифрованный трафик пользователей станет доступен неограниченному кругу лиц, фактически делая организацию жертвой MitM.

Авторы заключают, что пользоваться HolaVPN небезопасно, и призывают пользователей отказаться от него. Программа уже добавлена в черный список Trend Micro с пометкой «нежелательное ПО».

Представители Luminati выпустили совместное заявление, где назвали исследование лживым и безответственным. По их словам, клиенты, которые используют сервис бесплатно, сами не хотят скрывать свое сетевое поведение и довольствуются возможностью открывать заблокированные сайты. Для анонимного серфинга компания предлагает платный сервис, который обладает всеми возможностями VPN и не участвует в P2P-сети.

В ответ на обвинения в сотрудничестве с мошенниками представители Luminati напомнили, что услугами компании пользуются тысячи доверенных организаций, включая участников Fortune 500.

«Мы потрясены публикацией отчета без предварительной проверки фактов, — заключили представители двух компаний. — Это доказывает, что Trend Micro использует наш бренд для собственного PR».

Компания Hola уже оказывалась в центре скандала. В 2015 году ее пользователи попали под угрозу кибератак из-за уязвимостей в Windows- и Android-клиентах, а также расширениях для Firefox и Chrome. В июле 2018-го злоумышленники использовали сервис для кражи криптовалюты из кошельков MyEtherWallet.

Категории: Аналитика, Мошенничество