Infoblox zufolge beschränkt sich die Gruppe nicht auf eine einzelne Malware-Kampagne. Stattdessen verwaltet Lurking Lizard nach Einschätzung der Forscher seit mehreren Jahren verschiedene Stufen des Lebenszyklus eines Wohnraum-Proxy-Netzes: von der Kompromittierung von Geräten bis zum Verkauf des Zugangs zu dem daraus entstehenden Netzwerk.
Zu den imitierten Marken zählen laut Infoblox unter anderem IPIDEA, SmartProxy, das inzwischen Decodo heißt, IP Royal und 911Proxy. Die Gruppe betreibt darüber hinaus gefälschte „unabhängige“ Test- und Bewertungsseiten, die Verkehr auf ihre eigenen betrügerischen Schaufenster lenken sollen. Bemerkenswert ist in diesem Zusammenhang, dass Googles Infrastrukturabbau von IPIDEA erst Anfang dieses Jahres erfolgte.
Weitere Erkenntnisse stammen von Proxyway: Demnach tauchten 773.087 eindeutige IP-Adressen, die mit SmartProxy verknüpft waren, auch in einem öffentlich verfügbaren IPIDEA-Datensatz mit 16.192.293 eindeutigen IPs auf. Das deute darauf hin, dass SmartProxy entweder „die Infrastruktur von IPIDEA direkt weiterverkauft oder sie als bedeutende IP-Quelle nutzt“.
Ein zentrales Element der Vorgehensweise ist laut Infoblox das sogenannte Drop-Catching. Dabei werden Domains übernommen, sobald sie auslaufen, um von ihrer Historie und ihrem Anschein von Legitimität zu profitieren. In anderen Fällen nutze der Angreifer die Glaubwürdigkeit falsch erinnerter Domainnamen aus, etwa „7zip[.]com“ statt „7-zip[.]org“.
Die Analyse einer in den 7-Zip-Proben eingebetteten IPLogger-URL („iplogger[.]com/mnWD“) zeigte zudem, dass dieselbe zugrunde liegende Infrastruktur auch gefälschte Installer für 7-Zip und WhatsApp auslieferte. Hinzu kamen Werkzeuge, die fälschlich als Downloader für TikTok und YouTube ausgegeben wurden, sowie WireVPN.
Die Verwendung der Marke WireVPN beschreibt Infoblox als jüngste Weiterentwicklung der Kampagne. Der Ansatz ziele über mehrere Wege auf Nutzer verschiedener Betriebssysteme, darunter Android, macOS und Windows. Eine Android-App namens „wirevpn - Fast Unlimited Proxy“, entwickelt von der im Vereinigten Königreich ansässigen Firma WEILAI NETWORK TECHNOLOGY CO., LIMITED, wurde demnach mehr als 1 Million Mal heruntergeladen. Ob diese Downloads organisch zustande kamen, ist laut Bericht unklar.
„In der ursprünglichen 7-Zip-Kampagne wurden Opfer über Tutorial-Inhalte, suchgetriebene Auffindbarkeit und täuschend ähnliche Domains zu den schädlichen Installern geleitet“, erklärte Infoblox. „Ob ähnliche Techniken Nutzer auch zu den aktuellen Desktop-Varianten führen, ist unklar, aber die mobilen Anwendungen könnten als zusätzlicher Kanal zur Gewinnung neuer Opfer dienen.“
Offen ist laut Infoblox auch, ob die eigentliche Proxy-Funktionalität auf Mobilanwendungen vorhanden ist oder auf Desktop-Anwendungen beschränkt bleibt. Unabhängig davon zeichnen die Beobachtungen das Bild eines mutmaßlich rechtswidrigen Proxy-Geschäfts, das ein koordiniertes Ökosystem aus Opfergewinnung, Proxy-Infrastruktur, Marketing und Monetarisierung speist.
Die Veröffentlichung folgt wenige Tage auf eine Ankündigung von Google, das Netzwerk NetNut, auch Popa genannt, deutlich geschwächt zu haben. Dieses Wohnraum-Proxy-Netz verwandelte laut Google mindestens 2 Millionen Geräte wie Smart-TVs und Streaming-Boxen über mit Malware versehene SDKs in Durchleitungsstationen für unautorisierten Netzwerkverkehr. Diese SDKs seien entweder bereits vor dem Kauf vorinstalliert gewesen oder über Apps mit verstecktem Proxy-Code verbreitet worden.
