谷歌及其合作伙伴通过法律和技术手段,成功瓦解了全球最大的住宅代理网络之一 IPIDEA。该网络通过将恶意软件开发工具包 (SDK) 嵌入应用程序,秘密地将全球数百万用户的设备变成代理节点,为网络犯罪和间谍活动提供掩护。调查发现,多个看似独立的代理和 VPN 品牌均由 IPIDEA 控制。谷歌通过关闭其控制服务器、加强安卓系统防护并与行业共享情报,严重削弱了该网络的运营能力,并呼吁加强合作,提高用户安全意识,以应对这类灰色代理市场的威胁。
住宅代理网络:为恶意行为提供温床
住宅代理网络通过将网络流量路由到普通家庭或小型企业的 IP 地址,来隐藏攻击者的真实来源,这给网络防御带来了巨大挑战。
- 构建方式: 运营商通过在用户设备上植入代理软件来建立网络。这些设备要么预装了代理软件,要么是用户在不知情的情况下下载了包含代理代码的“木马化”应用程序。
- 诱导用户: 一些运营商以“利用闲置带宽赚钱”为诱饵,诱使用户主动安装此类软件。
- 滥用情况: 尽管运营商常以隐私和言论自由为幌子,但研究表明这些网络绝大多数被用于恶意目的。IPIDEA 已被证实为 BadBox2.0、Aisuru 和 Kimwolf 等多个僵尸网络提供了关键支持。
- 用户风险: 被用作代理节点的设备及其所有者可能会因他人的非法活动而被标记或封锁。更严重的是,这会给用户的设备和家庭网络带来安全漏洞,使其暴露在攻击之下。
住宅代理市场已成为一个“灰色市场”,它依靠欺骗手段,劫持消费者的带宽,为全球范围的间谍活动和网络犯罪提供掩护。
揭开 IPIDEA 的面具
调查发现,许多知名的住宅代理品牌实际上都由 IPIDEA 的幕后运营者控制。
关联品牌:
- 360 Proxy
- 922 Proxy
- ABC Proxy
- Cherry Proxy
- Door VPN
- Galleon VPN
- IP 2 World
- Luna Proxy
- PIA S5 Proxy
- PY Proxy
- Radish VPN
- Tab Proxy
核心工具: 软件开发工具包 (SDKs) 是 IPIDEA 建立网络的核心。他们向应用开发者推广这些 SDK,称其为“应用变现”的工具。一旦开发者将 SDK 集成到应用中,用户的设备就会在不知不觉中成为代理网络的一个节点。
关联 SDKs:
- Castar SDK
- Earn SDK
- Hex SDK
- Packet SDK
指挥与控制 (C2) 基础设施
IPIDEA 的网络采用了一个两层结构的指挥与控制系统来管理代理节点。
- 第一层 (Tier One): 设备启动时会连接到一组域名,发送设备信息并接收第二层节点的地址。
- 第二层 (Tier Two): 设备直接与第二层服务器的 IP 地址通信,定期获取代理任务,并开始转发流量。
我们的分析证实,尽管使用了不同的品牌名称和第一层域名,但这些不同的 SDK 最终都连接到 同一个共享的第二层服务器池,这表明它们由同一实体控制。
谷歌采取的打击行动
为了瓦解 IPIDEA 的基础设施,谷歌采取了多项综合措施:
- 法律行动: 采取法律手段关闭了用于控制设备和代理流量的 C2 域名,以及用于推广其产品和 SDK 的营销域名。
- 保护安卓用户: 确保 Google Play Protect 能够自动警告用户并移除包含 IPIDEA SDK 的应用程序,同时阻止未来的安装尝试。
- 行业协作: 与 Cloudflare、Spur 和 Lumen 等行业伙伴共享情报和发现,共同协调行动,瓦解 IPIDEA 的域名解析,削弱其控制受感染设备和推广产品的能力。
对用户的建议
- 警惕“付费”应用: 对任何声称提供报酬以换取“闲置带宽”或“共享网络”的应用程序保持高度警惕。
- 使用官方渠道: 坚持从官方应用商店下载应用,并仔细审查第三方 VPN 和代理应用的权限请求。
- 确保设备认证: 购买电视盒子等联网设备时,确保其来自信誉良好的制造商,并检查设备是否通过了 Play Protect 认证。
- 加强行业合作: 鼓励移动平台、互联网服务提供商和其他科技平台继续共享情报,共同识别和限制非法代理网络的危害。