O Google Risk Intelligence Group (GTIG) e seus parceiros anunciaram a interrupção de uma das maiores redes proxy do mundo na semana passada. A gigante da tecnologia com sede em Mountain View disse que conseguiu derrubar com sucesso a IPIDEA, uma das redes proxy mais notórias que opera nas sombras há algum tempo. A empresa disse que a rede proxy residencial transformou secretamente dispositivos Android e PCs com Home windows em proxies de Web para malfeitores, permitindo-lhes rotear o tráfego através de suas redes domésticas para mascarar a origem de atividades maliciosas.
GTIG derruba rede proxy massiva
Em um postagem no bloga gigante da tecnologia anunciou e detalhou a interrupção da rede proxy IPIDEA. Para quem não sabe, uma rede proxy residencial é um serviço não autorizado e antiético que roteia o tráfego da Web através de dispositivos para disfarçar a verdadeira origem de qualquer atividade. Em vez de depender de servidores comerciais, essas redes aproveitam dispositivos de consumo comprometidos para fazer com que as conexões pareçam vir de endereços IP residenciais legítimos.
Redes proxy residenciais são frequentemente usadas por invasores para mascarar comportamentos maliciosos, como preenchimento de credenciais, extração de conteúdo, invasão de contas e outras formas de fraude. Como o tráfego parece vir de endereços IP domésticos ou móveis, pode ser mais difícil para os sistemas de segurança distinguir usuários legítimos de tráfego ilegítimo. O Google disse que, junto com seus parceiros, identificou a rede, que usou uma variedade de técnicas para evitar a detecção, incluindo a execução de serviços ocultos em dispositivos e o obscurecimento de canais de comando e controle.
Como funcionam as redes proxy residenciais
Crédito da foto: Google
A postagem do weblog destacou que a operação se espalhou por meio de uma coleção de aplicativos Android maliciosos e software program proxy em PCs com Home windows. Os aplicativos foram distribuídos fora das lojas de aplicativos oficiais, bem como por meio de plataformas de terceiros, e incluíam mecanismos para persistir em segundo plano enquanto continuavam a retransmitir o tráfego. O Google disse que a funcionalidade de proxy do malware period muitas vezes invisível para os usuários e, em muitos casos, a rede funcionava sem qualquer consumo óbvio de bateria ou uso de dados que pudesse ter alertado os proprietários dos dispositivos.
Para desmantelar a infraestrutura, o GTIG e parceiros identificaram os servidores de comando e controle que gerenciavam a rede e tomaram medidas para interromper sua operação. Isso incluiu trabalhar com provedores de infraestrutura e registradores de domínio para desligar domínios e servidores usados para emitir comandos para dispositivos comprometidos e para receber e encaminhar tráfego de proxy. O Google também disse que atualizou seus sinais de detecção para que futuras tentativas de configurar redes semelhantes usando as mesmas ferramentas e técnicas possam ser identificadas mais rapidamente.
“Encorajamos as plataformas móveis, ISPs e outras plataformas tecnológicas a continuarem a partilhar inteligência e a implementar melhores práticas para identificar redes proxy ilícitas e limitar os seus danos”, disse a gigante tecnológica.
