You install a VPN to hide your traffic from your ISP, your carrier, the coffee shop router. That part works. But the app you just handed all your traffic to is running more surveillance code than almost anything else on your phone.
That is not speculation. In 2024, Zimperium’s zLabs team analyzed over 800 free VPN apps available on Google Play and third-party stores. The results were consistent across samples: 88% of the apps leaked user data through insecure implementations or deliberate collection. 80% embedded third-party tracking SDKs. 39% contained behavior classified as malware. The very tool people download to protect their privacy was, in most cases, the single largest privacy exposure on their device. (If you want context on how widespread tracker embedding is across all app categories, we covered what four academic studies actually found.)
Why Free VPNs Cannot Be Free
VPN infrastructure costs money. Servers, bandwidth, peering agreements, DDoS mitigation. A single VPN endpoint handling a thousand concurrent connections runs roughly $400 per month in hosting alone. Scale that to millions of users and you need millions in revenue.
Paid VPNs charge $5 to $12 per month. The math is straightforward. Free VPNs charge nothing, which means the revenue comes from somewhere you cannot see. Data brokerage. Ad injection. Surveillance contracts. Selling aggregate browsing profiles to marketing firms. The product is not the VPN. The product is you.
What the Research Actually Found
The Zimperium zLabs analysis went beyond permission lists. The team reverse-engineered APKs, inspected embedded libraries, and monitored actual network behavior. Here is what they reported across the 800+ apps:
- 88% leaked user data. Either through poor implementation (no encryption, DNS leaks) or through intentional collection and exfiltration to third-party servers.
- 80% contained tracking SDKs. Not just analytics. Full attribution and advertising frameworks reporting device fingerprints, location, and usage patterns.
- 60% shared data with third parties. The apps actively transmitted user information to advertising networks and data brokers, not as a side effect but as the core business model.
- 39% exhibited malware-level behavior. Credential harvesting, keystroke logging, screenshot capture, background recording.
- Outdated cryptographic libraries. Multiple apps shipped OpenSSL versions vulnerable to Heartbleed, a flaw disclosed in 2014. A VPN using a broken TLS stack is worse than no VPN at all, because you think you are protected.
- Microphone and screenshot permissions. Dozens of apps requested access to the microphone, camera, or screen capture. None of those permissions have anything to do with routing traffic through an encrypted tunnel.
These numbers align with what our own research data from 3,745 analyzed Android apps shows about tracker density in the broader ecosystem. VPN apps are not uniquely bad. They are just uniquely ironic.
What Is Actually Inside the APK
When you install an app, Android reads its manifest file and unpacks its compiled code. Every third-party SDK the developer included is right there in the bytecode. This is not hidden. It is declared, compiled, and shipped.
Here is what shows up in a typical free VPN APK:
Attribution SDKs. AppsFlyer, Adjust, Branch. These track where you came from, what you do after install, and report that back to the developer and their advertising partners. They assign you a persistent device fingerprint that survives app reinstalls.
Advertising frameworks. Google AdMob, Facebook Audience Network, Unity Ads. These are not just serving banners. They build behavioral profiles based on your app usage, device characteristics, and sometimes your location.
Data broker integrations. Some free VPNs ship SDKs from companies like Kochava or Lotame whose entire business is aggregating user data and selling it. These SDKs collect device identifiers, installed app lists, and browsing patterns.
Analytics beyond analytics. Firebase Analytics is one thing. But when you see Mixpanel, Amplitude, and CleverTap all in the same APK alongside two attribution platforms and an ad network, you are looking at an app whose primary function is data collection, not VPN service.
All of this is declared at build time in the AndroidManifest and compiled into the DEX bytecode. It is not loaded dynamically. It is not injected at runtime. It ships with the app, and it is fully verifiable by anyone who knows how to look. Our scoring model explains exactly how we detect and classify these embedded libraries.
How to Verify Your VPN App Yourself
You do not have to take anyone’s word for it. The tools exist to check for yourself.
1. Scan with AppXpose. Install AppXpose and scan the VPN app on your device. The report will show you every tracker SDK embedded in the APK, every permission requested, and a risk score based on actual bytecode analysis. Compare what the VPN promises in its store listing against what the scan finds. If the app claims “zero logging” but ships with four attribution SDKs, you have your answer.
2. Cross-reference with Exodus Privacy. Exodus Privacy maintains a public database of tracker signatures found in Android apps. Search for your VPN app there for an independent second opinion. If both AppXpose and Exodus flag the same libraries, the evidence is solid.
3. Add network-level blocking with NetGuard. NetGuard is a local firewall that lets you block individual apps from accessing the internet. If you need to keep a VPN app installed but want to cut off its tracking, NetGuard can block the SDK domains while still allowing the VPN tunnel to function. It is not a perfect solution, but it adds a layer.
The important thing is that this is verifiable. You are not relying on a company’s promise. You are looking at the compiled code.
What to Use Instead
If you need a VPN, pay for one. Mullvad charges a flat 5 euros per month with no account, no email, no tracking. ProtonVPN offers a free tier that is genuinely free, subsidized by paying subscribers, with zero third-party trackers in the APK. Both publish independent security audits.
The rule of thumb is old but still accurate: if you are not paying for the product, you are the product. With VPNs, that tradeoff is especially dangerous because you are handing the provider the single most complete record of your internet activity that exists.
Open-source options like WireGuard let you run your own endpoint if you have a server. The setup takes thirty minutes and costs $5 per month in hosting. You control the logs because there are none unless you create them. To see what heavy tracker embedding looks like in popular apps, check the scan results for Instagram or Facebook.
The Bottom Line
The VPN you trust to hide you is probably the most exposed app on your phone. That is not a design flaw. It is the business model. The good news is that it is entirely fixable once you know what to look for. Scan the app. Read the permissions. Count the trackers. If the numbers do not add up, the app is not protecting you. It is profiling you.
Du installierst ein VPN, um deinen Traffic vor dem Provider, dem Mobilfunkanbieter, dem Café-Router zu verstecken. Das funktioniert auch. Aber die App, der du gerade deinen gesamten Datenverkehr übergeben hast, führt mehr Überwachungscode aus als fast alles andere auf deinem Handy.
Das ist keine Vermutung. 2024 hat das zLabs-Team von Zimperium über 800 kostenlose VPN Apps aus Google Play und Drittanbieter-Stores analysiert. Die Ergebnisse waren eindeutig: 88% der Apps haben Nutzerdaten durch unsichere Implementierungen oder gezielte Erfassung weitergegeben. 80% enthielten Tracking-SDKs von Drittanbietern. 39% zeigten Verhalten, das als Malware eingestuft wurde. Das Werkzeug, das Menschen zum Schutz ihrer Privatsphäre herunterladen, war in den meisten Fällen die größte Datenschutz-Schwachstelle auf dem Gerät. (Wenn du Kontext willst, wie verbreitet Tracker-Embedding über alle App-Kategorien hinweg ist: wir haben zusammengefasst, was vier akademische Studien tatsächlich herausgefunden haben.)
Warum kostenlose VPNs nicht kostenlos sein können
VPN-Infrastruktur kostet Geld. Server, Bandbreite, Peering-Verträge, DDoS-Schutz. Ein einzelner VPN-Endpunkt für tausend gleichzeitige Verbindungen kostet rund 400 Dollar pro Monat allein an Hosting. Skalier das auf Millionen von Nutzern und du brauchst Millionen an Einnahmen.
Bezahlte VPNs nehmen 5 bis 12 Euro pro Monat. Die Rechnung geht auf. Kostenlose VPNs nehmen nichts, was bedeutet, dass die Einnahmen von einer Stelle kommen, die du nicht siehst. Datenhandel. Werbeeinblendungen. Überwachungsverträge. Verkauf von aggregierten Browsing-Profilen an Marketing-Firmen. Das Produkt ist nicht das VPN. Das Produkt bist du.
Was die Forschung tatsächlich ergeben hat
Die Zimperium-zLabs-Analyse ging über reine Berechtigungslisten hinaus. Das Team hat APKs reverse-engineered, eingebettete Bibliotheken inspiziert und das tatsächliche Netzwerkverhalten überwacht. Das sind die Ergebnisse aus den über 800 Apps:
- 88% haben Nutzerdaten weitergegeben. Entweder durch schlechte Implementierung (keine Verschlüsselung, DNS-Leaks) oder durch absichtliche Erfassung und Weiterleitung an Drittanbieter-Server.
- 80% enthielten Tracking-SDKs. Nicht nur Analytics. Vollständige Attribution- und Werbe-Frameworks, die Geräte-Fingerprints, Standort und Nutzungsmuster melden.
- 60% teilten Daten mit Dritten. Die Apps haben aktiv Nutzerinformationen an Werbenetzwerke und Datenhändler übertragen. Nicht als Nebeneffekt, sondern als Kerngeschäftsmodell.
- 39% zeigten Malware-Verhalten. Zugangsdaten abgreifen, Tastatureingaben protokollieren, Screenshots aufnehmen, Hintergrundaufnahmen.
- Veraltete Kryptografie-Bibliotheken. Mehrere Apps lieferten OpenSSL-Versionen mit, die für Heartbleed anfällig sind. Eine Schwachstelle aus dem Jahr 2014. Ein VPN mit defektem TLS-Stack ist schlimmer als gar kein VPN, weil du denkst, du wärst geschützt.
- Mikrofon- und Screenshot-Berechtigungen. Dutzende Apps forderten Zugriff auf Mikrofon, Kamera oder Bildschirmaufnahme. Keine dieser Berechtigungen hat irgendetwas mit dem Routing von Traffic durch einen verschlüsselten Tunnel zu tun.
Diese Zahlen decken sich mit dem, was unsere eigenen Forschungsdaten aus 3.745 analysierten Android Apps über die Tracker-Dichte im gesamten Ökosystem zeigen. VPN Apps sind nicht einzigartig schlecht. Sie sind nur einzigartig ironisch.
Was wirklich in der APK steckt
Wenn du eine App installierst, liest Android die Manifest-Datei und entpackt den kompilierten Code. Jedes SDK eines Drittanbieters, das der Entwickler eingebunden hat, ist direkt im Bytecode enthalten. Das ist nicht versteckt. Es wird deklariert, kompiliert und ausgeliefert.
Das findet sich in einer typischen kostenlosen VPN-APK:
Attribution-SDKs. AppsFlyer, Adjust, Branch. Diese tracken, woher du kommst, was du nach der Installation machst, und melden das an den Entwickler und seine Werbepartner. Sie weisen dir einen persistenten Geräte-Fingerprint zu, der auch eine Neuinstallation überlebt.
Werbe-Frameworks. Google AdMob, Facebook Audience Network, Unity Ads. Die schalten nicht nur Banner. Sie erstellen Verhaltensprofile basierend auf deiner App-Nutzung, deinen Geräteeigenschaften und manchmal deinem Standort.
Datenhändler-Integrationen. Manche kostenlosen VPNs liefern SDKs von Firmen wie Kochava oder Lotame mit, deren gesamtes Geschäft darin besteht, Nutzerdaten zu aggregieren und zu verkaufen. Diese SDKs sammeln Geräte-IDs, Listen installierter Apps und Browsing-Muster.
Analytics jenseits von Analytics. Firebase Analytics ist eine Sache. Aber wenn du Mixpanel, Amplitude und CleverTap zusammen mit zwei Attribution-Plattformen und einem Werbenetzwerk in derselben APK siehst, schaust du auf eine App, deren Hauptfunktion Datensammlung ist. Nicht VPN-Service.
All das wird zur Build-Zeit im AndroidManifest deklariert und in den DEX-Bytecode kompiliert. Es wird nicht dynamisch geladen. Es wird nicht zur Laufzeit injiziert. Es wird mit der App ausgeliefert und ist vollständig überprüfbar für jeden, der weiß, wo er hinschauen muss. Unser Scoring-Modell erklärt genau, wie wir diese eingebetteten Bibliotheken erkennen und klassifizieren.
So prüfst du deine VPN App selbst
Du musst niemandem glauben. Die Werkzeuge existieren, um es selbst zu überprüfen.
1. Scanne mit AppXpose. Installier AppXpose und scanne die VPN App auf deinem Gerät. Der Bericht zeigt dir jedes Tracker-SDK in der APK, jede angeforderte Berechtigung und einen Risiko-Score basierend auf echter Bytecode-Analyse. Vergleich, was das VPN im Store verspricht, mit dem, was der Scan findet. Wenn die App “Zero Logging” verspricht, aber vier Attribution-SDKs mitliefert, hast du deine Antwort.
2. Gegenprüfung mit Exodus Privacy. Exodus Privacy pflegt eine öffentliche Datenbank von Tracker-Signaturen in Android Apps. Such dort nach deiner VPN App für eine unabhängige Zweitmeinung. Wenn sowohl AppXpose als auch Exodus dieselben Bibliotheken melden, ist die Beweislage eindeutig.
3. Netzwerk-Blocking mit NetGuard. NetGuard ist eine lokale Firewall, mit der du einzelnen Apps den Internetzugang sperren kannst. Wenn du eine VPN App installiert lassen musst, aber das Tracking unterbinden willst, kann NetGuard die SDK-Domains blockieren, während der VPN-Tunnel weiter funktioniert. Keine perfekte Lösung, aber eine zusätzliche Schutzschicht.
Das Wichtige ist: das alles ist überprüfbar. Du verlässt dich nicht auf das Versprechen einer Firma. Du schaust dir den kompilierten Code an.
Was du stattdessen nutzen solltest
Wenn du ein VPN brauchst, bezahl dafür. Mullvad kostet pauschal 5 Euro pro Monat, ohne Konto, ohne E-Mail, ohne Tracking. ProtonVPN bietet ein kostenloses Kontingent, das wirklich kostenlos ist, finanziert durch zahlende Nutzer, mit null Drittanbieter-Trackern in der APK. Beide veröffentlichen unabhängige Sicherheitsaudits.
Die Faustregel ist alt, aber immer noch zutreffend: wenn du nicht für das Produkt bezahlst, bist du das Produkt. Bei VPNs ist dieser Kompromiss besonders gefährlich, weil du dem Anbieter das vollständigste Protokoll deiner Internetaktivitäten übergibst, das existiert.
Open-Source-Optionen wie WireGuard ermöglichen es, einen eigenen Endpunkt zu betreiben, wenn du einen Server hast. Die Einrichtung dauert dreißig Minuten und kostet 5 Dollar pro Monat an Hosting. Du kontrollierst die Logs, weil es keine gibt, es sei denn du erstellst sie selbst. Um zu sehen, wie schweres Tracker-Embedding in populären Apps aussieht, schau dir die Scan-Ergebnisse für Instagram oder Facebook an.
Das Fazit
Das VPN, dem du vertraust, dich zu verstecken, ist wahrscheinlich die am stärksten exponierte App auf deinem Handy. Das ist kein Designfehler. Es ist das Geschäftsmodell. Die gute Nachricht: es ist vollständig lösbar, sobald du weißt, worauf du achten musst. Scanne die App. Lies die Berechtigungen. Zähl die Tracker. Wenn die Zahlen nicht aufgehen, schützt dich die App nicht. Sie profiliert dich.
