No popular jogo de realidade virtual Gorilla Tag, você balança os braços para puxar seu personagem primata por mundos virtuais, subindo em árvores e, acima de tudo, tentando evitar uma horda infecciosa de outros jogadores. Se você for pego, você se junta à horda. No entanto, algumas crianças jogando o jogo afirmam ter encontrado uma maneira de trapacear e facilmente “tocar” os oponentes.
Ao longo do último ano, adolescentes produziram tutoriais em vídeo mostrando como instalar um aplicativo de rede privada virtual (VPN) nos headsets de realidade virtual da Meta e usar a tecnologia de mudança de localização para se destacar no jogo. Usando uma VPN, de acordo com os tutoriais, introduz-se um atraso que facilita a aproximação e o toque em outros jogadores.
Embora a solução alternativa seja provavelmente uma trapaça irritante, mas relativamente inofensiva dentro do jogo, há um porém. O aplicativo VPN gratuito que os tutoriais em vídeo indicam, Big Mama VPN, também está vendendo acesso às conexões de internet domésticas de seus usuários, com compradores essencialmente se aproveitando do endereço IP do headset de realidade virtual para ocultar sua própria atividade online.
Essa técnica de redirecionamento de tráfego, conhecida como proxy residencial e mais comumente realizada através de telefones, se tornou cada vez mais popular entre cibercriminosos que usam redes proxy para realizar ciberataques e utilizar botnets. Embora o Big Mama VPN funcione como deveria, os serviços de proxy associados da empresa foram amplamente promovidos em fóruns de cibercrime e publicamente ligados a pelo menos um ciberataque.
Pesquisadores da empresa de cibersegurança Trend Micro foram os primeiros a notar os headsets de realidade virtual da Meta aparecendo em seus dados de proxy residencial de inteligência de ameaças no início deste ano, antes de rastrear que adolescentes estavam usando o Big Mama para jogar Gorilla Tag. Uma análise não publicada que a Trend Micro compartilhou com a WIRED diz que seus dados mostram que os headsets de realidade virtual eram os terceiros dispositivos mais populares usando o aplicativo Big Mama VPN, atrás de dispositivos da Samsung e Xiaomi.
“Se você o baixou, há uma alta probabilidade de que seu dispositivo esteja à venda no mercado do Big Mama,” diz Stephen Hilt, um pesquisador sênior de ameaças da Trend Micro. Hilt afirma que, embora o Big Mama VPN possa estar sendo usado porque é gratuito, não exige que os usuários criem uma conta e aparentemente não tem limites de dados, os pesquisadores de segurança há muito alertam que usar VPNs gratuitas pode expor as pessoas a riscos de privacidade e segurança.
Esses riscos podem ser amplificados quando esse aplicativo está vinculado a um proxy residencial. Proxies podem “permitir que pessoas com intenções maliciosas usem sua conexão de internet para potencialmente usá-la em seus ataques, o que significa que seu dispositivo e seu endereço IP doméstico podem estar envolvidos em um ciberataque contra uma corporação ou um estado-nação,” diz Hilt.
“Gorilla Tag é um lugar para se divertir com seus amigos e ser brincalhão e criativo—qualquer coisa que perturbe isso não é legal para nós,” diz um porta-voz do criador do Gorilla Tag, Another Axiom, acrescentando que eles usam “mecanismos anti-trapaça” para detectar comportamentos suspeitos. A Meta não respondeu a um pedido de comentário sobre VPNs sendo instaladas em seus headsets.
Proxies em Ascensão
Big Mama é composta por duas partes: há o aplicativo VPN gratuito, que está disponível na Google Play Store para dispositivos Android e foi baixado mais de 1 milhão de vezes. Em seguida, há a Big Mama Proxy Network, que permite que as pessoas (entre outras opções) comprem acesso compartilhado a endereços IP “reais” de 4G e Wi-Fi doméstico por apenas 40 centavos por 24 horas.
Vincent Hinderer, um gerente de equipe de inteligência de ameaças cibernéticas que pesquisou o mercado mais amplo de proxies residenciais na Orange Cyberdefense, diz que existem vários cenários em que proxies residenciais são usados, tanto para pessoas que têm tráfego roteado através de seus dispositivos quanto para aqueles que compram e vendem serviços de proxy. “Às vezes é uma zona cinza legal e ética,” diz Hinderer.
Para redes proxy, Hinderer afirma que um extremo do espectro é onde as redes podem ser usadas como uma forma de empresas coletarem detalhes de preços dos sites de seus concorrentes. Outros usos podem incluir verificação de anúncios ou pessoas comprando tênis durante vendas. Eles podem ser considerados eticamente duvidosos, mas não necessariamente ilegais.
No outro extremo do espectro, de acordo com a pesquisa da Orange, redes de proxy residenciais têm sido amplamente usadas para espionagem cibernética por hackers russos, em esforços de engenharia social, como parte de ataques DDoS, phishing, botnets e mais. “Temos cibercriminosos usando-as conscientemente,” diz Hinderer sobre redes de proxy residenciais em geral, com a Orange Cyberdefense tendo frequentemente visto tráfego de proxy em logs vinculados a ciberataques que investigou. A pesquisa da Orange não analisou especificamente os usos dos serviços do Big Mama.
Algumas pessoas podem consentir em ter seus dispositivos usados em redes proxy e serem pagas por suas conexões, diz Hinderer, enquanto outras podem ser incluídas porque concordaram com isso nos termos e condições de um serviço—algo que pesquisas há muito mostram que as pessoas não costumam ler ou entender.
O Big Mama não esconde que as pessoas que usam sua VPN terão outro tráfego roteado através de suas redes. Dentro do aplicativo, diz que “pode transportar o tráfego de outros clientes através” do dispositivo que está conectado à VPN, enquanto também é mencionado nos termos de uso e em uma página de perguntas frequentes sobre como o aplicativo é gratuito.
A página da Big Mama Network anuncia seus proxies como disponíveis para serem usados para verificação de anúncios, compra de ingressos online, comparação de preços, raspagem da web, SEO e uma série de outros casos de uso. Quando um usuário se inscreve, ele é mostrado uma lista de locais onde os dispositivos proxy estão localizados, seu provedor de serviços de internet e quanto cada conexão custa.
Este mercado, no momento da redação, lista 21.000 endereços IP à venda nos Emirados Árabes Unidos, 4.000 nos EUA e dezenas a centenas de outros endereços IP em uma série de outros países. Os pagamentos só podem ser feitos em criptomoeda. Seus termos de serviço afirmam que a rede é fornecida apenas para “fins legais,” e pessoas usando-a para fraudes ou outras atividades ilícitas serão banidas.
Apesar disso, cibercriminosos parecem ter um interesse aguçado no serviço. A análise da Trend Micro afirma que o Big Mama tem sido regularmente promovido em fóruns subterrâneos onde cibercriminosos discutem a compra de ferramentas para fins maliciosos. As postagens começaram em 2020. Da mesma forma, a empresa de segurança israelense Kela encontrou mais de 1.000 postagens relacionadas à rede proxy Big Mama em 40 fóruns e canais do Telegram diferentes.
A análise da Kela, compartilhada com a WIRED, mostra contas chamadas “bigmama_network” e “bigmama” postando em pelo menos 10 fóruns, incluindo fóruns de cibercrime como WWHClub, Exploit e Carder. Os anúncios listam preços, testes gratuitos e os detalhes de contato do Telegram e outros do Big Mama.
Não está claro quem fez essas postagens, e o Big Mama diz à WIRED que não anuncia.
Postagens dessas contas também disseram, entre outras coisas, que pagamentos anônimos em bitcoin estão disponíveis. A maioria das postagens, diz a análise da Kela, foi feita pelas contas por volta de 2020 e 2021. Embora uma conta chamada “bigmama_network” tenha postado no fórum Blackhat World SEO da clearweb até outubro deste ano, onde afirmou que sua conta do Telegram foi excluída várias vezes.
Em outras postagens durante o último ano, de acordo com a análise da Kela, usuários de fóruns de cibercrime recomendaram o Big Mama ou compartilharam dicas sobre as configurações que as pessoas deveriam usar. Em abril deste ano, a empresa de segurança Cisco Talos disse que havia visto tráfego da Proxy Big Mama, juntamente com outras proxies, sendo usado por atacantes tentando forçar a entrada em uma variedade de sistemas de empresas.
Mensagens Misturadas
O Big Mama tem poucos detalhes sobre sua propriedade ou liderança em seu site. Os termos de serviço da empresa afirmam que um negócio chamado BigMama SRL está registrado na Romênia, embora uma versão anterior de seu site de 2022, e pelo menos uma página ao vivo agora, liste um endereço legal para BigMama LLC em Wyoming. O negócio baseado nos EUA foi dissolvido em abril e agora está listado como inativo, de acordo com o site do Secretário de Estado de Wyoming.
Uma pessoa usando o nome Alex A respondeu a um e-mail da WIRED sobre como o Big Mama opera. No e-mail, eles dizem que a informação sobre as conexões de usuários gratuitos sendo vendidas a terceiros através da Big Mama Network é “duplicada no mercado de aplicativos e na própria aplicação várias vezes,” e as pessoas têm que aceitar os termos e condições para usar a VPN. Eles dizem que o Big Mama VPN está oficialmente disponível apenas na Google Play Store.
“Não anunciamos e nunca anunciamos nossos serviços nos fóruns que você mencionou,” diz o e-mail. Eles afirmam não estar cientes das descobertas de abril da Talos sobre sua rede sendo usada como parte de um ciberataque. “Bloqueamos spam, DDoS, SSH, bem como rede local etc. Registramos a atividade do usuário para cooperar com agências de aplicação da lei,” diz o e-mail.
A persona Alex A pediu à WIRED para enviar mais detalhes sobre os anúncios em fóruns de cibercrime, detalhes sobre as descobertas da Talos e informações sobre adolescentes usando o Big Mama em dispositivos Oculus, dizendo que ficariam “felizes” em responder a mais perguntas. No entanto, eles não responderam a mais e-mails com detalhes adicionais sobre as descobertas de pesquisa e perguntas sobre suas medidas de segurança, se acreditam que alguém estava se passando pelo Big Mama para postar em fóruns de cibercrime, a identidade de Alex A ou quem dirige a empresa.
Durante sua análise, Hilt da Trend Micro diz que a empresa também encontrou uma vulnerabilidade de segurança dentro do Big Mama VPN, que poderia ter permitido que um usuário de proxy acessasse a rede local de alguém se explorada. A empresa diz que relatou a falha ao Big Mama, que a corrigiu em uma semana, um detalhe que Alex A confirmou.
Em última análise, Hilt diz que existem riscos potenciais sempre que alguém baixa e usa uma VPN gratuita. “Todas as VPNs gratuitas vêm com um trade-off de preocupações de privacidade ou segurança,” diz ele. Isso se aplica a pessoas que as instalam em seus headsets de realidade virtual. “Se você está baixando aplicativos da internet que não são das lojas oficiais, sempre há o risco inerente de que não é o que você pensa que é. E isso se aplica até mesmo aos dispositivos Oculus.