Как выяснили эксперты Trend Micro, «общественный» компонент в HolaVPN практически отсутствует. Пользователи HolaVPN не делятся своими интернет-соединениями друг с другом, в действительности, весь трафик перенаправляется через приблизительно тысячу выходных узлов, размещённых в дата-центрах.
В то же время, как указывается в публикации Trend Micro, «любое вычислительное устройство с бесплатной версией HolaVPN превращается в выходной узел, который монетизируется коммерческим сервисом под названием Luminati».
Этот сервис также принадлежит владельцам HolaVPN, и занимается тем, что продаёт пропускные мощности пользователей HolaVPN сторонним игрокам, что само по себе вызывает массу вопросов, поскольку такой подход открывает массу возможностей для злоупотреблений. И, судя по всему, этими возможностями недобросовестные лица активно пользуются.
Старые знакомые
«Чтобы понять, для чего используется Luminati, мы проанализировали 100 млн URL, которые сканировались анонимным порядком в целях безопасности, используя ПО Trend Micro, установленное на 7 тысяч компьютеров, которые использовались как выходные узлы для сети прокси-серверов Luminati в 2017 и 2018 году, - говорится в отчёте Trend Micro. - По-видимому, более 85% всего трафика Luminati... направляется к мобильной рекламе, доменам мобильных приложений и партнёрских программ, которые платят за рефералы и установку приложений. Данные о миллионах кликов по рекламным ссылкам и показов рекламы ежедневно загружаются через Luminati - и это весьма прибыльный бизнес. Рынок мобильной рекламы велик и быстро растёт, так что мошенники однозначно попытаются получить свою долю пирога. В ходе нашего расследования мы собрали избыточные свидетельства тому, что бывшие участники мошеннической группировки KlikVip (связанной с более не существующей украинской фирмой Innovative Marketing) теперь используют Luminati для отправки трафика с их сайтов мобильной рекламы на сторонние лендинги. Учитывая прошлые действия KlikVip, вполне вероятно, что эти лица нашли новый способ для совершения действий, связанных с накруткой рекламы, в крупных масштабах».
То, что HolaVPN продаёт пропускные мощности своих пользователей на сторону, было известно ещё в 2015 г., и уже тогда сервис называли разновидностью ботнета.
При этом отсутствие шифрования передаваемых данных и надёжной защиты пользовательских IP-адресов от деанонимизации делает HolaVPN фактически бесполезным в качестве VPN-сервиса, притом, что у пользователей возникает ложное чувство защищённости.
«Этот сервис защищает интересы только тех, кто использует его для получения прибыли, - то есть, самих владельцев и их партнёров по накруточным схемам, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. – По всей видимости, сомнительные способы заработка на пользовательских данных, трафике и пропускной способности каналов, - основное назначение HolaVPN, а само использование аббревиатуры VPN – не более чем приманка».
Аналитики Trend Micro отметили также, что небольшая, но существенная часть трафика HolaVPN связана с data scraping - автоматическим извлечением данных с различных веб-платформ, даже вопреки желанию их владельцев. Как правило, на таких платформах реализована защита в виде Captcha и ограничений на количество запросов с одного IP-адреса. Однако в случае с HolaVPN/Luminati эти меры срабатывают плохо, и Luminati открыто предлагает своим клиентам воспользоваться возможностью для data scraping.
Разработки TrendMicro для защиты данных теперь рассматривают клиентское ПО HolaVPN как нежелательное или вредоносное.