Swing VPN — сервис для обхода блокировок от Limestone Software Solutions. Исследователь Лекроми заявил, что Android-версия приложения является DDoS-ботнетом.

Лекроми рассказал, что тестовый телефон постоянно отправлял запросы на определённый веб-сайт каждые 10 секунд. Расследование показало, что все запросы шли из приложения Swing VPN — они отправлялись на сайт, на который владелец гаджета никогда не заходил.

Эксперт установил, что сервис определяет настоящий IP-адрес пользователя сразу после принятия Политики конфиденциальности, анализирует возвращаемый с сайта HTML-код и идентифицирует IP-адреса из ответов — в основном для поиска файлов конфигурации для загрузки.

Далее Swing VPN отправляет запросы к двум разным файлам конфигурации из личной учётной записи Google Диска разработчика (они запрашиваются с определённых персональных серверов, нескольких репозиториев GitHub или аккаунтов Google Диска). Процесс инициализации завершается с подключением к рекламной сети для загрузки рекламы и сохранения данных в локальном кэше. Запросы VPN-сервиса идут на сайт Туркменских авиалиний.

«Поскольку поиск рейса довольно интенсивная задача, требующая большого количества баз данных и серверных ресурсов, ясно, что цель состоит в том, чтобы нагрузить сервер из ресурсов, чтобы обычные пользователи не могли получить к нему доступ, когда это необходимо», — пояснил Лекроми.

На сегодняшний день у приложения более 5 млн скачиваний на Android, что даёт потенциал атаки в полмиллиона запросов в секунду.