Gratis VPN mit 5 Millionen Downloads ist angeblich DDoS-Botnet
Ein Security-Experte behauptet, dass Swing VPN ein DDoS-Botnet (Distributed Denial of Service) ist. Angeblich benutzt es die Geräte von Leuten, die das kostenlose VPN installiert haben, um DDoS-Angriffe auf Websites und Online-Services auszuführen. Das ist eine ziemlich schwere Anschuldigung, zumal die App via Google Play Store über 5 Millionen mal heruntergeladen wurde.
Mit einem DDoS-Angriff überfrachtet man Websites oder Online-Services mit Anfragen, sodass der Service gestört ist. Im schlimmsten Fall kann der Service oder die Website gar nicht mehr antworten und das kommt einem kompletten Ausfall gleich.
DDoS-Services kann man im Internet und/oder im Darknet kaufen. Mitunter will man damit die Konkurrenz lahmlegen oder schädigen. Auch politisch motiviert könnten solche Angriffe sein.
Der unbekannte Security-Experte erklärt, dass sich ein Freund beschwerte, dass sein Telefon alle paar Sekunden eine Anfrage an eine bestimmte App stellte. Zunächst wurde vermutet, dass sich ein Virus auf dem Smartphone eingeschlichen hat. Allerdings wurde die Sache untersucht und angeblich war Swing VPN für die Anfragen verantwortlich.
Die App stellt Anfragen an Websites, die sein Freund niemals besucht hatte. Das Verhalten ließ sich auf seinem eigenen Smartphone nachvollziehen. Die angegriffene Website war laut eigenen Angaben https://turkmenistanairlines.tm. Alle 10 Sekunden wurde eine Anfrage an diesen Endpunkt gestellt:
https://turkmenistanairlines.tm/tm/flights/search?_token=J8SxUX2Qwzltw4LiHsRHTCtfthgBYxf4hyI8oNly&search_type=internal&departPort=TAZ&arrivalPort=CRZ&tripType=rt&departDate=4%2F22%2F2023&arrivalDate=5%2F4%2F2023&adult=1&child=0&infant=0&is_cship=on
Da diese URL so spezifisch ist, handelt es sich mit hoher Wahrscheinlichkeit um keinen Fehler. Auch einen normalen Ping an die Website kann man ausschließen.
Die Konfiguration für die anzugreifenden Websites ist in der APK-Datei gespeichert und lässt sich damit schnell ändern, um Beweise zu vernichten.
Ich kann und will die Analyse nicht bestätigen, da ich keine potenzielle Malware auf meinem Smartphone installiere. Der Artikel liest sich allerdings ziemlich interessant.
Log-Datei analysiert
Im oben verlinkten Artikel untersucht der Experte ein Log. Es zeigt, dass die Website den bestimmten Endpunkt “tm/flights/search” anfordert.
Die Flugsuche ist eine sehr intensive Aufgabe ist, die viele Datenbanken und Server-Ressourcen benötigt. Deswegen sei es klar, dass man mit den Anfragen die entsprechenden Server maximal belasten wolle.
Zwar sehe 1 Anfrage pro 10 Sekunden auf den ersten Blick nicht nach DDoS aus. Allerdings ist die Anzahl der Installationen der Knackpunkt. Bei über 5 Millionen Downloads kommt was zusammen.
Der Experte lobt die Kreativität des Swing-VPN-Teams loben, wie sie geschickt die Sicherheitsmaßnahmen des Google Play Store umgangen haben. Gleichzeitig findet er es traurig, dass die Sicherheitssysteme von Google die entsprechenden Methoden nicht erkennen.
Das Problem mit kostenlosen VPNs
Kostenlose VPNs sind mit äußerster Vorsicht zu genießen. Sie müssen irgendwie profitabel sein und deswegen bist Du häufig das Produkt. Es gibt hervorragende kostenlose VPNs, die meist Ableger von kommerziellen Angeboten sind, aber Einschränkungen haben.
Vielleicht kannst Du Dir mit einem Raspberry Pi oder einer Fritz!Box selbst einen VPN-Server basteln und diesen in öffentlichen WLANs oder Hotspots benutzen.
Möchtest Du wirklich ein kostenloses VPN nutzen, dann ist wohl Proton VPN einer der besten Anbieter. Dir stehen zwar nur Server in den USA, Japan sowie den Niederlanden zur Verfügung und Du kannst nur 1 Gerät damit versorgen, allerdings gibt es keine Einschränkungen beim Datenvolumen. Häufig sind die Server auch überlastet und Streaming sowie Torrent-Downloads sind damit nicht gestattet.
Für nur wenige Euro pro Monat bekommst Du auch hervorragende VPNs, die keine Limits haben und womit Du Geoblocking sowie Internet-Zensur und VPN-Sperren umgehen kannst.