Google elimină o rețea invizibilă care a folosit în secret internetul telefonului tău
Google a anunțat că a distrus rețeaua botnet IPIDEA, care a hijack-uit milioane de routere de acasă. Potrivit androidcentral.com, această rețea masivă de proxy rezidențial a transformat fără știrea utilizatorilor milioane de dispozitive obișnuite în unelte pentru criminalitatea cibernetică.
👉 Metodele de operare și impactul rețelei IPIDEA
IPIDEA a ascuns atacurile în spatele unor conexiuni reale de internet, făcând traficul rău intenționat mai greu de detectat și blocat decât proxy-urile bazate pe centre de date. Aproximativ nouă milioane de dispozitive Android au fost eliberate, împreună cu eliminarea a sute de aplicații compromise.
Google a adus o lovitură majoră uneia dintre cele mai obscure infrastructuri de pe internet: o vastă rețea de proxy rezidențial cunoscută sub numele de IPIDEA, care a transformat în tăcere milioane de smartphone-uri, PC-uri și dispozitive conectate într-o armată de proxy-uri pe care actori rău intenționați le puteau închiria pentru a-și ascunde și extinde atacurile. Rețelele de proxy rezidențiale nu sunt foarte cunoscute în afara cercurilor de securitate. Pentru cei neinițiați, în loc să trimită trafic rău prin centre de date care pot fi blocate de apărători, atacatorii folosesc IP-uri rezidențiale reale — precum conexiunea ta de internet de acasă — pentru a ascunde de unde provine traficul.
👉 Rolul SDK-urilor în extinderea rețelei IPIDEA
IPIDEA a oferit acest lucru, și pe o scară foarte mare. Grupul de Inteligență în Amenințări al Google (GTIG) afirmă că infrastructura IPIDEA a fost integrată în sute de aplicații și SDK-uri — cum ar fi PacketSDK, EarnSDK, HexSDK și CastarSDK — pe care dezvoltatorii le utilizau pentru monetizare. Odată instalate, aceste SDK-uri puteau recruta un dispozitiv în piscina de proxy-uri IPIDEA fără o divulgare clară către utilizator, transformând acel dispozitiv într-un nod de ieșire pentru rutarea traficului în numele altora.
Rezultatul a fost că utilizatorii obișnuiți au devenit fără voia lor parte a unei rețele folosite de peste 550 de grupuri de amenințare urmărite în doar o săptămână din această lună. Aceste grupuri includ criminali cibernetici pricepuți și actori de amenințare persistentă avansată (APT) conectați la China, Rusia, Iran și Coreea de Nord. Proxile au sprijinit activități precum stuffing-ul de credențiale, spionajul, atacurile DDoS și ascunderea operațiunilor de comandă și control.
În această săptămână, Google a acționat decisiv. Compania a folosit pași legați de acțiuni legale și tehnice pentru a elimina zeci de domenii legate de IPIDEA care operau aceste rețele și promovau SDK-urile și serviciile de proxy. Google Play Protect a fost actualizat pentru a găsi și elimina aplicațiile Android afectate. Google a împărtășit de asemenea informații cu parteneri precum Black Lotus Labs de la Lumen, Cloudflare și alții pentru a ajuta la perturbarea sistemelor de backend.
Rezultatele sunt clare. Google afirmă că numărul dispozitivelor hijack-uite disponibile pentru abuz a scăzut cu milioane. Aceasta include eliminarea a aproximativ nouă milioane de dispozitive Android legate de rețea și sute de aplicații asociate. Nu toate părțile rețelei sunt dispărute, însă perturbarea face ca extinderea abuzului în viitor să fie mult mai dificilă.
În opinia mea, acțiunea Google împotriva rețelei IPIDEA este o mare victorie pentru utilizatorii obișnuiți. Aceasta nu blochează doar o cale majoră pentru atacuri cibernetice ascunse, ci ajută și la restabilirea încrederii în dispozitivele care au fost folosite fără voia lor într-un botnet global. Deși ecosistemul proxy-urilor va continua să se schimbe, vederea unei companii mari care îi face responsabili pe actorii răi oferă utilizatorilor o protecție reală acum.
