Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Google Disrupts IPIDEA — One of the World’s Largest Residential Proxy Networks

3 minute de lecture

Mis à jour :

Démontez des Réseaux de Proxies Résidentiels Malveillants

Une opération coordonnée a permis de perturber IPIDEA, l’un des plus grands réseaux mondiaux de proxies résidentiels. Cette initiative, menée par Google et d’autres partenaires, a entraîné la désactivation de nombreux domaines utilisés pour le contrôle d’appareils et le transit de trafic. Le site web d’IPIDEA n’est plus accessible.

Ces réseaux de proxies résidentiels constituent une menace significative, facilitant une large gamme d’activités malveillantes, allant de l’espionnage sophistiqué aux escroqueries à grande échelle. En redirigeant le trafic via les connexions Internet résidentielles, les acteurs malveillants peuvent dissimuler leurs origines tout en accédant à des environnements d’entreprise.

Points Clés :

  • Abus par des Acteurs Malveillants : L’infrastructure d’IPIDEA a été utilisée par plus de 550 groupes de menaces distincts, impliqués dans des cybercrimes, de l’espionnage, des menaces persistantes avancées (APT), et des opérations d’information. Les cibles incluaient des environnements SaaS, des infrastructures sur site, et des attaques par pulvérisation de mots de passe.
  • Exploitation de Vulnérabilités : Des menaces comme le botnet AISURU/Kimwolf ont abusé de failles dans les services de proxies résidentiels pour relayer des commandes malveillantes vers des appareils IoT au sein de réseaux locaux, propageant ainsi des malwares.
  • Distribution de Malwares : Les malwares transformant les appareils grand public en points de sortie de proxy sont souvent intégrés discrètement dans des applications et jeux pré-installés sur des appareils hors marque.
  • Monétisation Trompeuse : IPIDEA a également publié des applications autonomes promettant de l’argent facile aux utilisateurs en échange de l’utilisation de leur “bande passante inutilisée”.
  • Risques pour les Consommateurs : Les applications de proxy IPIDEA ne se contentent pas de relayer le trafic, elles tentent également de compromettre les appareils cibles, exposant les utilisateurs à des risques importants, qu’ils aient rejoint le réseau de proxy sciemment ou par inadvertance.
  • Réseau Étendu : IPIDEA contrôlait plusieurs marques de proxies résidentiels connues (comme 360 Proxy, 922 Proxy, PIA S5 Proxy) ainsi que des kits de développement logiciel (SDK) destinés à être intégrés par des développeurs tiers pour monétiser leurs applications, transformant ainsi les appareils qui les installent en nœuds du réseau de proxy.
  • Infections sur Windows et Android : Des binaires Windows se faisant passer pour des mises à jour légitimes et environ 600 applications Android (utilitaires, jeux) ont été identifiés contenant du code malveillant lié à IPIDEA.

Vulnérabilités Exploités :

Bien que des CVEs spécifiques ne soient pas mentionnés pour les services de proxy eux-mêmes, l’article décrit l’exploitation de :

  • Failles de sécurité dans les services de proxies résidentiels permettant le relai de commandes malveillantes vers des appareils IoT.
  • L’intégration de code de proxy dans des applications et jeux pré-installés ou téléchargés, transformant les appareils en points de sortie sans le consentement éclairé de l’utilisateur.
  • L’exploitation de SDKs de monétisation par des développeurs malveillants ou peu méfiants, intégrant du code de proxy dans leurs applications.

Recommandations :

  • Protection par les Plateformes : Google a mis à jour Google Play Protect pour avertir automatiquement les utilisateurs des applications contenant du code IPIDEA et pour supprimer automatiquement ces applications sur les appareils Android certifiés.
  • Vigilance des Utilisateurs : Les utilisateurs doivent être prudents quant aux applications qu’ils installent, en particulier celles qui promettent de “monétiser” leur bande passante ou qui proviennent de sources non fiables.
  • Surveillance des Appareils : Être attentif à tout comportement suspect de la part des appareils connectés, notamment les appareils IoT et les boîtiers de streaming.
  • Désinstallation : Supprimer les applications suspectes ou qui ont été identifiées comme contenant du code malveillant lié à ces réseaux de proxy.

Source

Vous pourriez aimer