Google Threat Intelligence Group (GTIG) ha revelado cómo se asoció con la industria para interrumpir IPIDEA , una de las redes de proxy residenciales maliciosas más grandes del mundo. La investigación de GTIG reveló cómo IPIDEA obtuvo acceso ilícito a dispositivos de consumidores (por ejemplo, teléfonos inteligentes, decodificadores, computadoras de escritorio) para permitir una amplia gama de actividades maliciosas.

IPIDEA ha servido como un facilitador clave para una serie de botnets, y observamos que la infraestructura de IPIDEA se utiliza para enmascarar la actividad maliciosa de cientos de grupos de atacantes, en delitos cibernéticos, espionaje, APT y operaciones de información, de todo el mundo, incluidos China, Corea del Norte, Irán y Rusia.

Además de tomar medidas legales para cerrar la infraestructura utilizada para administrar estos dispositivos y compartir nuestros hallazgos sobre cómo funciona esta tecnología con otros proveedores de plataformas, Google ha actualizado Google Play Protect para advertir automáticamente a los usuarios sobre las aplicaciones que contienen el código IPIDEA. Para los dispositivos Android certificados, el sistema ahora eliminará estas aplicaciones maliciosas y bloqueará cualquier intento futuro de instalarlas.

John Hultquist, Chief Analyst de GTIG, explica la importancia de estos eventos: “Las redes proxy residenciales se han convertido en una herramienta omnipresente para todo, desde el espionaje de alto nivel hasta planes criminales masivos. Al enrutar el tráfico a través de la conexión a Internet del hogar de una persona, los atacantes pueden ocultarse a simple vista mientras se infiltran en entornos corporativos. Al derribar la infraestructura utilizada para operar la red IPIDEA, hemos desmantelado de forma efectiva un mercado global que vendía acceso a millones de dispositivos de consumo pirateados”.

A continuación, se proporciona una descripción general de alto nivel:

¿Cómo funcionó?

• Enfoque doble: en algunos casos, los operadores de proxy pagan a los desarrolladores de aplicaciones para que oculten el código de «monetización» en juegos y utilidades comunes. Cuando un usuario descarga la aplicación, su dispositivo queda inscrito silenciosamente en la red.
  • Los operadores comercializan estos kits como formas para que los desarrolladores moneticen sus aplicaciones y ofrecen compatibilidad con Android, Windows, iOS y WebOS.
  • IPIDEA también lanzó aplicaciones independientes, dirigidas directamente a personas que buscan «dinero fácil», anunciando abiertamente que pagarán a los consumidores por instalar la app y permitir el uso de su «ancho de banda no utilizado».
• Las marcas de IPIDEA se promocionan intensamente en foros clandestinos (underground) y están dirigidas a compradores criminales que buscan formas imposibles de rastrear para lanzar ataques.
• IPIDEA luego vende el acceso a estos dispositivos a terceros a través de una serie de servicios proxy y VPN.

¿Por qué es importante?

• GTIG identificó millones de dispositivos en esta red, creando un “mercado gris” global para el ancho de banda secuestrado.
  • Debido a que el tráfico está vinculado a un proveedor de Internet residencial real, a los defensores les resulta más difícil identificar el tráfico malicioso, que puede mezclarse con otro tráfico en la red residencial. Los piratas informáticos pueden utilizar estas redes para rotar continuamente el lugar donde ocurre su actividad maliciosa.
• Cuando los dispositivos de los consumidores son confiscados, no están simplemente «compartiendo» su ancho de banda de Internet. Este software puede crear una puerta trasera digital en una red doméstica, lo que brinda a los delincuentes una forma de acceder a otros dispositivos privados, como computadoras portátiles, cámaras o tecnología doméstica inteligente conectados al mismo Wi-Fi.