Некоторые Android VPN клиенты внутри работают открывая socks proxy на каком-нибудь порту на локалхосте. Чисто в теории, что мешает какому-нибудь приложению просканить все порты на локалхосте просто поотправляя хендшейки socks5 и при обнаружении попробовать сходить через него на какой-нибудь кремлёвский honeypot, чтобы задетектить и заблочить таким образом VPN?