Google Threat Intelligence Group (GTIG) ha dado a conocer una operación conjunta con distintos actores de la industria para desmantelar IPIDEA, considerada una de las mayores redes de proxy residencial malicioso a escala mundial. La investigación llevada a cabo por el equipo de Google permitió identificar cómo esta red lograba acceder de forma ilegal a dispositivos de usuarios, como teléfonos móviles, decodificadores o equipos informáticos, con el fin de habilitar múltiples actividades ilícitas.
Según las conclusiones de GTIG, IPIDEA actuaba como un elemento clave para el funcionamiento de diversas botnets y su infraestructura se utilizaba para ocultar acciones maliciosas de cientos de grupos de atacantes. Estas actividades estaban vinculadas a ciberdelincuencia, espionaje, amenazas persistentes avanzadas (APT) y campañas de desinformación procedentes de distintos países, entre ellos China, Corea del Norte, Irán y Rusia.
Además de emprender acciones legales para cerrar la infraestructura encargada de gestionar los dispositivos comprometidos y de compartir los detalles técnicos de su funcionamiento con otros proveedores de plataformas, Google ha reforzado las medidas de seguridad de Google Play Protect. A partir de ahora, esta herramienta alertará de forma automática a los usuarios sobre aplicaciones que incorporen código de IPIDEA. En los dispositivos Android certificados, el sistema procederá también a eliminar estas aplicaciones dañinas y a impedir futuras instalaciones del mismo tipo.
John Hultquist, Chief Analyst de GTIG, explica la importancia de estos eventos: “Las redes proxy residenciales se han convertido en una herramienta omnipresente para todo, desde el espionaje de alto nivel hasta planes criminales masivos. Al enrutar el tráfico a través de la conexión a Internet del hogar de una persona, los atacantes pueden ocultarse a simple vista mientras se infiltran en entornos corporativos. Al derribar la infraestructura utilizada para operar la red IPIDEA, hemos desmantelado de forma efectiva un mercado global que vendía acceso a millones de dispositivos de consumo pirateados”.
A continuación, se proporciona una descripción general de alto nivel:
¿Cómo funcionó?
- Enfoque doble: en algunos casos, los operadores de proxy pagan a los desarrolladores de aplicaciones para que oculten el código de «monetización» en juegos y utilidades comunes. Cuando un usuario descarga la aplicación, su dispositivo queda inscrito silenciosamente en la red.
- Los operadores comercializan estos kits como formas para que los desarrolladores moneticen sus aplicaciones y ofrecen compatibilidad con Android, Windows, iOS y WebOS.
- IPIDEA también lanzó aplicaciones independientes, dirigidas directamente a personas que buscan «dinero fácil», anunciando abiertamente que pagarán a los consumidores por instalar la app y permitir el uso de su «ancho de banda no utilizado».
- Las marcas de IPIDEA se promocionan intensamente en foros clandestinos (underground) y están dirigidas a compradores criminales que buscan formas imposibles de rastrear para lanzar ataques.
- IPIDEA luego vende el acceso a estos dispositivos a terceros a través de una serie de servicios proxy y VPN.
¿Por qué es importante?
- GTIG identificó millones de dispositivos en esta red, creando un “mercado gris” global para el ancho de banda secuestrado.
- Debido a que el tráfico está vinculado a un proveedor de Internet residencial real, a los defensores les resulta más difícil identificar el tráfico malicioso, que puede mezclarse con otro tráfico en la red residencial. Los piratas informáticos pueden utilizar estas redes para rotar continuamente el lugar donde ocurre su actividad maliciosa.
- Cuando los dispositivos de los consumidores son confiscados, no están simplemente «compartiendo» su ancho de banda de Internet. Este software puede crear una puerta trasera digital en una red doméstica, lo que brinda a los delincuentes una forma de acceder a otros dispositivos privados, como computadoras portátiles, cámaras o tecnología doméstica inteligente conectados al mismo Wi-Fi.
Puedes leer el informe completo, incluida una lista de SDK afectados e indicadores técnicos, en este enlace.
