Con más de un millón de descargas en Google Play, un popular VPN servía como puerta de acceso a una red clandestina de proxies

Con más de un millón de descargas en Google Play, un popular VPN servía como puerta de acceso a una red clandestina de proxies

La protección de datos personales sirvió de tapadera para una gran estafa

image

Dominios que imitan sitios auténticos de programas populares resultaron de nuevo no solo un señuelo para la instalación de software malicioso, sino una puerta de entrada a un esquema mayor de venta de tráfico de Internet ajeno. Expertos de Infoblox vincularon el instalador falso de 7-Zip con la operación Lurking Lizard de varios años, en la que los dispositivos infectados se convertían en nodos de una red de proxies residenciales.

Los proxies residenciales permiten enrutar el tráfico de otras personas a través de dispositivos domésticos o de usuario comunes, de modo que externamente la conexión parezca una solicitud de un abonado real. A principios de 2026 los atacantes dirigían a los usuarios a 7zip[.]com en lugar del sitio auténtico 7-zip[.]org. El instalador funcionaba con suficiente verosimilitud para que la víctima no se apresurara a eliminar el programa, pero al mismo tiempo conectaba el dispositivo a la infraestructura de proxies.

Infoblox determinó que la campaña con 7-Zip era solo la parte más visible del esquema. Mediante DNS, WHOIS y análisis de infraestructura, los especialistas hallaron más de 230 dominios relacionados. Entre ellos había sitios falsos de populares servicios VPN, servicios de números telefónicos virtuales, páginas de descarga, comprobaciones de direcciones IP y hasta escaparates de proveedores de proxies. Algunos dominios imitaban a IPIDEA, SmartProxy, IP Royal y 911Proxy, y smartproxy[.]org, según Infoblox, no pertenecía al verdadero Smartproxy, sino a Lurking Lizard.

Un enlace a IPLogger incrustado en las muestras ayudó a vincular distintas campañas. Los programas maliciosos se comunicaban con él sin un resultado visible para el usuario, pero esa solicitud permitía recopilar datos sobre la víctima, incluida la dirección IP, la geolocalización, el tipo de dispositivo y el navegador. La misma marca apareció en muestras desde 2022, incluidos descargadores falsos de vídeo y variantes más recientes bajo la marca WireVPN.

La nueva actividad, según Infoblox, está vinculada específicamente a WireVPN. Las muestras para Windows usaban una estructura de archivos similar, creaban reglas de cortafuegos mediante netsh y se persistían en el sistema a través del registro. Al iniciarse, el cliente comprobaba numerosas direcciones IP por todo el mundo y establecía varias conexiones simultáneas con dominios de WireVPN y hosts aparentemente neutrales que conducían a la infraestructura común de Lurking Lizard.

Tal comportamiento se parece más a la participación del dispositivo en una red de proxies distribuida que a una VPN habitual, aunque los expertos indicaron por separado que una caracterización completa del tráfico requiere más análisis.

Las aplicaciones móviles de WireVPN también llamaron la atención de Infoblox. Las versiones en Apple App Store y Google Play están vinculadas con el mismo dominio wirevpn[.]app, y la versión para Android, al momento de la publicación, tenía más de 1 millón de descargas y más de 34 000 reseñas. No obstante, los especialistas analizaron muestras de Windows y no afirman que las aplicaciones móviles realicen las mismas acciones.

El resultado no fue la historia de un solo programa falso, sino el panorama de una economía completa de proxies, donde unos dominios atraen a las víctimas, otros venden acceso a nodos y ciertos sitios de reseñas empujan a los clientes hacia los servicios deseados.