I proxy residenziali sono spesso utilizzati dagli attori delle minacce per nascondere attività dannose, tra cui le frodi pubblicitarie e l'uso di bot. L'accesso alle reti proxy residenziali viene spesso acquistato da altri attori delle minacce che le creano iscrivendo i dispositivi di utenti inconsapevoli come nodi della rete tramite malware incorporato in applicazioni mobili, CTV o desktop.

Il team Satori Threat Intelligence di HUMAN ha recentemente identificato un gruppo di app VPN disponibili su Google Play Store che trasformavano il dispositivo dell'utente in un nodo proxy a sua insaputa. Abbiamo soprannominato questa operazione PROXYLIB, dal nome della libreria Golang responsabile dell'iscrizione del nodo proxy in ciascuna delle app.

Nel maggio 2023, i ricercatori di una società di misurazione hanno riscontrato un comportamento dannoso in una singola applicazione VPN gratuita - Oko VPN - presente sul Play Store di Google. La ricerca ha portato alla rimozione di Oko VPN dal Play Store.