El auge de las aplicaciones VPN gratuitas para Android ha traído consigo nuevas amenazas de ciberseguridad. Entre las más peligrosas se encuentra PROXYLIB, una librería maliciosa que ha infectado decenas de apps de Google Play Store, transformando smartphones en nodos proxy residenciales sin consentimiento. ¿Qué implica esto para el usuario? Riesgo real de filtración de datos personales y bancarios, pérdida de cuentas, consumo ilegal de tus recursos y posibles delitos cometidos desde tu IP. Descubre qué apps debes eliminar de inmediato, cómo identificar peligros y por qué la vigilancia es más importante que nunca a la hora de descargar aplicaciones en tu móvil.
¿Qué es PROXYLIB y cómo funciona en las apps de VPN fraudulentas?
PROXYLIB es una librería maliciosa integrada en aplicaciones que aparentan ser legítimas, especialmente en servicios de VPN gratuitos y apps relacionadas (como lanzadores, teclados y utilidades). Su principal función es convertir dispositivos Android en nodos proxy residenciales para que ciberdelincuentes puedan utilizar tu conexión a Internet con el objetivo de enmascarar actividades fraudulentas y delictivas.
Funcionamiento:
- La app infectada instala la librería «libgojni.so» (desarrollada en Golang) de forma oculta.
- Sin conocimiento del usuario, el dispositivo se registra en una red de control (C2) donde recibe órdenes externas para enrutar tráfico ajeno.
- El malware consume ancho de banda, recursos del móvil y batería, y puede provocar lentitud, sobrecalentamiento o uso excesivo de la tarifa de datos.
- Toda esta actividad permanece oculta, camuflada mediante permisos y servicios en segundo plano que pasan desapercibidos.
- El acceso proxy se vende a terceros (otros grupos de ciberdelincuentes), que usan tu dirección IP para realizar ataques, fraude online, envío de spam, robo de identidad y más.
En muchos casos, los desarrolladores de apps afectadas han integrado PROXYLIB atraídos por promesas de monetización: LumiApps SDK ofrecía «ganancias por tráfico» a cambio de instalar el código malicioso, sin que el usuario fuera consciente ni recibiera aviso fiable.
¿Por qué es tan peligrosa esta amenaza? Riesgos para el usuario
La infección por PROXYLIB no es visible ni genera síntomas alarmantes de inmediato, pero sus consecuencias pueden ser muy graves:
- Pérdida de privacidad: Tu conexión a Internet se convierte en vehículo para actividades ilegales o sospechosas. La suplantación de identidad (IP spoofing) puede involucrar a tu dispositivo sin que lo sepas.
- Filtración de datos personales, bancarios y contraseñas: Muchas de estas apps recogen información sobre la red, el tráfico de datos, logins, historial de navegación y credenciales, que terminan en manos de ciberdelincuentes o se venden en mercados clandestinos.
- Participación involuntaria en ciberdelitos: Los atacantes pueden emplear tu red para fraudes bancarios, ataques DDoS, estafas online y blanqueo de capitales a gran escala, poniendo tu reputación y seguridad legal en peligro.
- Consumo injustificado de recursos: El uso como nodo proxy incrementa el tráfico de datos, provoca drenaje rápido de la batería y ralentiza el funcionamiento normal del móvil.
- Compromiso de la seguridad del dispositivo: Las apps afectadas abren puertas traseras que pueden ser explotadas por otros programas maliciosos, elevando las posibilidades de reinfección o robo de más información.
Cómo se descubrió la estafa: la investigación de HUMAN Threat Intelligence
La operación fue identificada y documentada por el equipo Satori Threat Intelligence de HUMAN Security, quien detectó por primera vez el comportamiento sospechoso en Oko VPN, una VPN gratuita disponible en Google Play. Tras un análisis exhaustivo, se reveló la existencia de una campaña maliciosa de alcance global sustentada en la librería PROXYLIB y el SDK LumiApps, afectando a múltiples aplicaciones (principalmente VPN, pero también lanzadores, teclados y apps de utilidades).
La investigación demostró:
- La red de nodos proxy creada por las apps infectadas era ofrecida comercialmente en plataformas como Asocks, permitiendo a terceros operar desde las IP de usuarios reales.
- Se identificaron más de 150.000 combinaciones de direcciones IP y puertos, aunque la infraestructura real se basaba en miles de víctimas expuestas en todo el mundo.
- El Kit LumiApps permitía modificar los APK (apps instalables de Android) sin necesidad de acceso al código fuente original, facilitando así la proliferación del malware en versiones «modificadas» de aplicaciones populares.
- Google eliminó muchas de las apps afectadas de Play Store tras recibir el informe, pero algunas lograron volver bajo nombres de desarrollador diferentes o siguen circulando en tiendas de terceros.
La facilidad con la que los desarrolladores podían monetizar el tráfico de los usuarios volvió este ataque especialmente lucrativo y peligroso, ya que el incentivo económico facilitó su rápida expansión.
Lista actualizada de aplicaciones de VPN infectadas con PROXYLIB y otras apps maliciosas
Si tienes instalada alguna de estas aplicaciones en tu dispositivo Android, debes desinstalarla inmediatamente, borrar todos sus datos y pasar un antivirus de confianza. Consulta en y cómo eliminarlas.
- Android 12 Launcher
- Android 13 Launcher
- Android 14 Launcher
- Anims Keyboard
- Blaze Stride
- Byte Blade VPN
- CaptainDroid Feeds
- Fast Fly VPN
- Fast Fox VPN
- Fast Line VPN
- Free Old Classic Movies
- Funny Char Ging Animation
- Limo Edges
- Lite VPN
- Oko VPN
- Phone App Launcher
- Phone Comparison
- Quick Flow VPN
- Run VPN
- Sample VPN
- Secure Thunder
- Shine Secure
- Speed Surf
- Swift Shield
- Turbo Track VPN
- Turbo Tunnel VPN
- VPN Ultra
- Yellow Flash VPN
Otras VPN fraudulentas altamente peligrosas detectadas
Además, empresas de ciberseguridad como Kaspersky han alertado sobre otras VPN fraudulentas asociadas a la botnet 911 S5 y redes proxy ilegítimas, como o .
Estas aplicaciones han sido responsables de comprometer millones de dispositivos y permitir grandes fraudes y delitos cibernéticos internacionales.
¿Cómo puedo saber si mi móvil está infectado? Síntomas y métodos de detección
El malware PROXYLIB es muy difícil de detectar manualmente, ya que opera en segundo plano y oculta su actividad. Sin embargo, algunos signos pueden alertarte:
- Consumo inesperado de datos móviles incluso sin un uso intensivo del dispositivo.
- Reducción drástica de la duración de la batería y sobrecalentamiento del móvil.
- Lentitud o bloqueos inesperados, en especial tras instalar apps nuevas.
- Notificaciones extrañas de antivirus o alertas de Google Play Protect indicando apps dañinas.
- Aparición de apps instaladas que no recuerdas haber descargado o permisos sospechosos concedidos.
Para comprobar si tienes apps peligrosas, utiliza apps de gestión de aplicaciones como App Checker o revisa la lista anterior directamente en tus aplicaciones instaladas.
Si tienes sospechas, pasa inmediatamente un escaneo con un antivirus reconocido (como Avast Mobile Security, Kaspersky Mobile o similares) y elimina las apps peligrosas.
¿Por qué se propagan tanto las VPN gratuitas fraudulentas en Google Play y otras tiendas?
El crecimiento exponencial en la demanda de VPN gratuitas ha sido aprovechado por los ciberdelincuentes para camuflar malware bajo la apariencia de servicios de privacidad y seguridad. Muchos usuarios creen que una app es segura solo porque aparece en Google Play o porque presume de «cifrado y anonimato».
Factores que favorecen su propagación:
- La facilidad con la que desarrolladores pueden integrar SDKs de monetización sin revisarlos a fondo.
- La creencia errónea de que las apps gratuitas no implican riesgos.
- Políticas de revisión insuficientes en algunas tiendas oficiales y, sobre todo, en repositorios alternativos.
- Aparición de versiones «modificadas» (MODs) de apps populares que integran malware sin consentimiento del autor original.
- Motivaciones económicas, ya que los desarrolladores reciben dinero por cada mega de tráfico redirigido desde los móviles infectados.
Incluso tras la eliminación de muchas apps de la Play Store, siguen circulando a través de tiendas alternativas y pueden ser republicadas bajo otros desarrolladores, por lo que la amenaza continúa vigente.
Botnets y redes proxy maliciosas: cómo los ciberdelincuentes se lucran a tu costa
La aparición de PROXYLIB y aplicaciones fraudulentas de VPN está conectada con el auge de botnets internacionales como 911 S5. Estas vastas redes de dispositivos infectados sirven para que los ciberdelincuentes “alquilen” el acceso a miles de conexiones residenciales legítimas, facilitando toda clase de delitos:
- Fraude bancario, robos de identidad y estafas online.
- Blanqueo de capitales y lavado de dinero usando IPs de usuarios normales.
- Ataques DDoS (saturación de servidores) a empresas u organismos públicos.
- Phishing y campañas de spam masivo difíciles de rastrear por la multiplicidad de IPs involucradas.
Se estima que millones de dispositivos han sido absorbidos por estas botnets a nivel mundial, comprometiendo la privacidad, la integridad y la seguridad de sus dueños sin que muchos lleguen a descubrirlo.
Medidas de protección: cómo evitar apps fraudulentas de VPN y eliminar el malware PROXYLIB
Para reducir el riesgo de infección y eliminar el malware en caso necesario, sigue estas recomendaciones básicas:
- Descarga apps solo de fuentes oficiales y reputadas como Google Play (aún así revisa permisos, opiniones y procedencia).
- Evita instalar VPNs gratuitas o aplicaciones poco conocidas con muchas descargas pero desarrolladores desconocidos.
- : busca reseñas de expertos, valoraciones recientes y alertas de seguridad.
- Utiliza un antivirus actualizado en tu móvil, tanto para detectar amenazas como para eliminar apps peligrosas o modificar configuraciones sospechosas.
- Revisa regularmente los permisos de las aplicaciones y desconfía de las apps que soliciten acceso excesivo o que se comporten de forma inusual.
- Desinstala de inmediato cualquier app que aparezca en listas negras como las que te mostramos y borra todos sus datos asociados antes de pasar un análisis de seguridad.
- Configura contraseñas robustas, activa la autenticación en dos pasos cuando sea posible y mantente alerta ante mensajes extraños.
Ante la menor sospecha de comportamiento malicioso, apaga el dispositivo, desinstala las apps peligrosas y contacta con soporte técnico especializado si crees que tus datos personales, bancarios o de acceso han sido expuestos.
¿Son fiables las VPN gratuitas? Por qué es mejor apostar por servicios de pago
El atractivo de las VPN gratuitas es indudable: prometen anonimato, desbloqueo de contenidos y privacidad sin coste… pero en seguridad, lo barato suele salir caro. Las VPNs de pago deben cumplir estrictos controles de calidad, no monetizan tu tráfico ni venden tus datos, y ofrecen soporte técnico y fiabilidad.
Las VPN gratuitas, salvo excepciones de compañías reconocidas que limitan el uso en su versión gratis, pueden esconder modelos de negocio opacos, desde mostrarte publicidad agresiva hasta convertir tu móvil en parte de redes proxy sin tu conocimiento (como en los casos de PROXYLIB y 911 S5).
¿Qué debes buscar en una VPN de confianza?
- Proveedor reconocido con buenas valoraciones y una política clara de privacidad.
- Listas blancas en portales de ciberseguridad y ausencia en informes de apps peligrosas.
- Transparencia sobre uso de datos y política de registro cero (no logs).
- Opciones de soporte técnico y actualizaciones periódicas.
Recuerda: Si no pagas por el producto, probablemente el producto eres tú. En el caso de las VPN, el riesgo de «regalar» tus recursos y privacidad puede tener consecuencias catastróficas.
