Fenomenul rețelelor de proxy rezidențiale care abuzează calculatoarele și telefoanele altora pentru a-și ascunde traficul reapare în atenție: Google Threat Intelligence Group, împreună cu parteneri din industrie, a perturbat operațiunile IPIDEA, o rețea folosită pe scară largă de actori malițioși pentru a direcționa trafic prin dispozitive compromise la nivel global. Acțiunea a vizat domenii și componente ale infrastructurii care administrau dispozitive infectate și rutarea traficului, iar cercetătorii au publicat detalii despre kiturile software (SDK) folosite pentru a integra funcționalitatea de proxy în aplicații care păreau legitime.
IPIDEA se prezenta ca un serviciu VPN ce criptează traficul online și ascunde adresa IP reală, iar operatorii pretindeau că avea 6, 7 milioane de utilizatori la nivel mondial. În realitate, rețeaua se baza pe IP-urile caselor și ale micilor întreprinderi ale unor utilizatori cu dispozitive compromise. Astfel de rețele rezidențiale permit atacatorilor să camufleze activități ilicite prin redirecționarea traficului printr-un număr mare de dispozitive legitime, ceea ce complică foarte mult munca apărătorilor. Infecțiile apar, de regulă, prin aplicații troianizate sau programe care par utile la prima vedere, dar conțin un SDK sau un executabil care transformă dispozitivul într-un nod de ieșire.
Într-o scrisoare adresată instanței, Google a arătat că astfel de proxy-uri sunt folosite pentru preluări de conturi, creare de conturi false, furt de acreditări și extragere de informații sensibile. În cazul IPIDEA, cercetătorii GTIG au identificat peste 550 de grupuri distincte de amenințare care foloseau noduri de ieșire într-o singură săptămână, incluzând actori din China, Iran, Rusia și Coreea de Nord. Activitățile documentate au cuprins acces la platforme SaaS ale victimelor, password spraying, control de botnet și obfuscare a infrastructurii. Anterior, Cisco Talos asociaseră aceleași componente cu atacuri masive de tip brute-force împotriva serviciilor VPN și SSH, iar infrastructura IPIDEA a susținut și botneturi DDoS notabile, precum Aisuru și Kimwolf.
Operațiunea IPIDEA a folosit cel puțin 600 de aplicații Android troianizate care încorporau SDK-uri de proxying cunoscute ca Packet SDK, Castar SDK, Hex SDK și Earn SDK, precum și peste 3.000 de binare Windows troianizate care se deghizau în programe ca OneDriveSync sau Windows Update. Operatorii au promovat mai multe aplicații VPN și proxy pentru Android care, pe lângă funcționalitatea promisă, transformau discret dispozitivele utilizatorilor în noduri de ieșire fără știrea sau consimțământul acestora. Pe plan comercial, operatorii au înființat cel puțin 19 afaceri de proxy rezidențial care imitau servicii legitime și vindeau acces la dispozitive compromise cu malware BadBox 2.0; printre brandurile asociate s-au numărat 360 Proxy, 922 Proxy, ABC Proxy, Cherry Proxy, Door VPN, Galleon VPN, IP 2 World, Ipidea, Luna Proxy, PIA S5 Proxy, PY Proxy, Radish VPN, Tab Proxy și altele. Chiar dacă denumirile erau diferite, toate serviciile păreau legate de o infrastructură centralizată controlată de aceeași operațiune, ale cărei persoane din spate rămân neidentificate.
Din perspectivă tehnică, Google descrie un sistem de comandă și control în două nivele: nivelul întâi furniza configurațiile, temporizările și listele de noduri pentru nivelul doi, iar acest nivel doi includea aproximativ 7.400 de servere care atribuiau sarcini de proxy și retransmiteau traficul. Google Play Protect detectează și blochează acum automat, pe dispozitive Android actualizate și certificate, aplicațiile care includ SDK-urile asociate cu IPIDEA. Deși intervențiile GTIG și ale partenerilor au avut probabil un impact semnificativ asupra operațiunilor IPIDEA, operatorii ar putea încerca să-și refacă infrastructura; până în prezent nu au fost raportate arestări sau inculpări. Ca măsură practică, utilizatorii ar trebui să fie precauți în privința aplicațiilor care oferă plăți în schimbul lățimii de bandă și a VPN-urilor sau proxy-urilor gratuite publicate de entități necunoscute.
IPIDEA a folosit cel puțin 600 de aplicații Android troianizate și peste 3.000 de binare Windows pentru a-și alimenta rețeaua. Cazul evidențiază cât de periculoase pot fi SDK-urile încorporate în aplicații aparent inofensive și cât de utile sunt mecanisme precum Google Play Protect, dar și că soluțiile tehnice trebuie însoțite de vigilența utilizatorilor și de verificarea editorială a publisherilor. Crezi că ar trebui impuse reguli mai stricte magazinelor de aplicații sau responsabilitatea ar trebui să revină mai mult utilizatorilor?
Fii primul care comentează