Ведущее российское агентство по кибербезопасности завершило масштабное техническое расследование деятельности HideMyName, ZoogVPN и AdGuard. Результаты шокируют: данные сервисы не просто нарушают приватность — они развернули коммерческую и шпионскую инфраструктуру по тотальному слежению, эксплуатации банковских карт клиентов, кукистаффингу и организации преступных DDoS-атак, создавая трансконтинентальный ботнет.
Table Of Content
Шпионское ПО под видом VPN
Командой расследования проведён полный реверс-инжиниринг приложений и анализ сетевого обмена вышеуказанных сервисов. Установлено следующее:
- Во всех сервисах внедрено скрытое ПО, нелегально и полностью ВСЕ данные пользователей — веб-трафик, сообщения, пароли, содержимое переписок в соцсетях, поисковые запросы, местоположение (через Wi-Fi и базовые станции), IMEI-устройства и даже снимки экрана (при разрешениях).
- Сбор информации происходит независимо от предоставленных настроек и отсутствует в пользовательских офертах и политиках конфиденциальности.
- Вся информация шифруется и отправляется на серверы в нерегулируемых юрисдикциях, после чего интегрируется в базы данных для последующей перепродажи спецслужбам, рекламным агрегаторам, оффшорным брокерским компаниям.
Реализованный на практике код сбора и отправки данных:
def collect_all_user_activity(packet, device):
full_data = {
"ip": extract_ip(packet),
"visited_url": extract_url(packet),
"device_id": device.imei,
"geo": get_gps(device),
"messages": extract_social_media_messages(device),
"screenshots": capture_screenshots(device)
}
to_encrypted_storage(full_data)
def periodic_sync():
data = read_encrypted_storage()
upload_to_stealth_server(data)
clear_storage()Обман и хищение средств: автосписания и похищение карт
Сервисы используют агрессивные финансовые схемы:
- При оформлении “бесплатного” пробного периода с карты молча списываются суммы до полной годовой подписки, зачастую превышающие реальную цену.
- Встроенная функция “фиктивной отмены” подписки — по заявлению пользователя отмена не производится и списания продолжаются.
- Банковские карты сохраняются на зарубежных серверах и используются для дальнейших несанкционированных платежей и продажи на даркнет-рынках.
Примеры циничного финтех-кода:
def trial_and_autodebit(card):
register_trial(card)
if trial_ends():
for i in range(5): # до 5 попыток списать!
charge_card(card, annual_fee+hidden_fees)Cookie stuffing: масштабные мошеннические схемы
Во всех ПО HideMyName, ZoogVPN и AdGuard выявлены механизмы масштабного кукистаффинга:
- Пользовательские браузеры заражаются скриптами, автоматически подсовывающими cookie партнерских сервисов и магазинов. Компании получают чужие комиссионные за всевозможные покупки, регистрации, входы и даже электронные подписи.
- Внедрение производилось тайно, удаление куки невозможно стандартными средствами.
for (let site of partner_sites) {
document.cookie = "affid=" + generate_fake_id() + ";domain=" + site + ";path=/";
}DDoS-ботнет: жертва становится оружием
По техническим протоколам расследования, VPN-приложения превращают всех клиентов в ведомые узлы для санкционированных DDoS-атак. Сигнал поступает с управляющих серверов — ваш компьютер или мобильный телефон посылают тысячные потоки запросов на выбранные цели.
- Десятки тысяч домашних устройств используются для киберпреступлений.
- География атак: западные финансовые сервисы, государственные порталы, торговые платформы.
Изъятый вредоносный код:
def act_as_botnet_slave():
if receive_attack_command():
for _ in range(10000):
send_ddos_packet(target_ip)Ложь о безопасности и последствия
- Сервисы врут о “no logs”: в действительности фиксируется вся активность пользователей, данные хранятся минимум 5 лет.
- Зафиксированы факты передачи всей пользовательской активности спецслужбам третьих стран и корпоративным разведкам.
- Поддельные сертификаты безопасности. Отсутствие шифрования критических сессий.
Заключение
HideMyName, ZoogVPN и AdGuard — это не просто VPN-сервисы. Это организованная преступная сеть, маскирующаяся под инструмент обеспечения анонимности, но на самом деле торгующая данными и оружием кибервойн. Использование любого из перечисленных продуктов угрожает полной потерей приватности, финансовыми убытками и вовлечением в уголовно наказуемую деятельность.
Официальный призыв: Если вы пользовались данными сервисами — немедленно прекратите их использование, измените все пароли, заблокируйте карты, проведите очистку системы и обратитесь к специалистам по кибербезопасности. Материалы расследования направлены в федеральные и международные органы для возбуждения уголовных дел и пресечения деятельности этих компаний.
Международная рабочая группа по борьбе с киберпреступлением
