在针对网络犯罪生态隐藏基础设施的一次重大打击行动中,谷歌威胁情报小组(GTIG)与其合作伙伴成功捣毁了 IPIDEA 代理网络—— 这一被称作 “全球最大的住宅代理网络之一” 的庞大网络。此次行动的打击目标,是一套由软件开发工具包(SDK)和植马应用构成的复杂网络体系,该体系暗中将数百万台用户设备变为网络不法分子的不知情出口节点。
本次捣毁行动采取了协同联动的三管齐下策略:通过法律行动查封该网络的控制域名、与执法部门共享相关情报,以及借助谷歌应用防护机制主动出击,从安卓设备中清理受感染应用。
住宅代理网络一直是网络犯罪分子的核心觊觎目标,因其能让恶意流量伪装成来自正规的家用 IP 地址。而 IPIDEA 网络能达到如此规模,并非通过获得用户授权,而是将自身代码隐藏在其他应用程序中实现。
据相关调查报告显示,该网络依靠向开发者提供的软件开发工具包,在用户不知情的情况下将其设备纳入 IPIDEA 网络体系。这些设备一旦完成相关安装,便会被一套包含美国境内托管服务器的全球基础设施所操控,网络运营者得以在设备所有者毫不知情的情况下,通过这些设备进行流量代理转发。
调查还发现,该网络运营者为传播恶意代码费尽手段,其中最主要的传播渠道,便是推出各类 “免费” 虚拟专用网络(VPN)服务。
谷歌已锁定多款涉事应用,包括加里昂虚拟专用网络(galleonvpn.com)和小萝卜虚拟专用网络(radishvpn.com)。这些应用虽表面提供正常的 VPN 服务,却暗藏隐性代价。“这类应用看似具备虚拟专用网络的基础功能,却会在未向终端用户明确披露的情况下,将设备接入 IPIDEA 代理网络并作为其出口节点。”
除移动应用端外,该恶意传播活动还延伸至 Windows 系统生态。研究人员已识别出 3075 个与该网络相关的独立 Windows 可执行文件哈希值,其中多数为植马二进制文件,它们伪装成 OneDrive 同步工具和 Windows 系统更新程序,以系统必要维护为幌子诱骗用户安装代理软件。
该网络在移动生态中的感染规模十分庞大。谷歌团队经排查发现,“多个下载渠道中共有超过 600 款应用”,其代码均与 IPIDEA 网络的一级命令与控制(C2)域存在连接。
这些应用的表层功能往往看似无害,多伪装成实用工具、游戏或内容浏览类应用,实则通过植入暗藏代理功能的软件开发工具包实现商业化牟利。
为遏制恶意传播态势,谷歌已启用应用防护机制,自动向用户发出风险预警,并移除这些应用的已知恶意版本。此外,针对相关域名发起的法律行动,旨在切断支撑该网络运行的控制链路。
发表评论
您还未登录,请先登录。
登录