Google ha avviato quella che può essere definita, senza troppi giri di parole, una delle più incisive operazioni mai condotte contro una rete informatica sospetta che operava silenziosamente all’interno di milioni di dispositivi di uso comune, tra smartphone Android, computer domestici e dispositivi intelligenti connessi a internet.
Al centro della vicenda c’è Ipidea, azienda con sede in Cina che, secondo quanto ricostruito da Google e da diversi ricercatori di sicurezza, avrebbe gestito una gigantesca rete di proxy residenziali, sfruttando inconsapevolmente i dispositivi degli utenti come nodi di uscita per il traffico internet di terzi, spesso con finalità tutt’altro che legittime.
Indice:
Segui TuttoAndroid su Google Discover
roborock Qrevo Curv 2 Flow
Offerta + clicca su applica coupon di 50 euro + coupon: TTANDROID5
Cos’è una rete proxy residenziale e perché è pericolosa
Prima di entrare nel dettaglio dell’azione legale intrapresa da Google, è utile fare un passo indietro per capire di cosa stiamo parlando.
Le reti proxy residenziali funzionano, in estrema sintesi, come una sorta di Airbnb della connessione internet: app e software installati su telefoni, PC, smart TV o altri dispositivi trasformano questi ultimi in punti di accesso affittabili a clienti paganti, che possono così navigare online facendo apparire il traffico come proveniente da un normale utente domestico.
Il problema, e qui sta il nodo centrale della questione, è che la maggior parte degli utenti non è consapevole di far parte di queste reti, poiché il codice proxy viene spesso integrato di nascosto all’interno di app gratuite, giochi o software desktop apparentemente innocui.
Come sottolineano gli esperti di sicurezza, una volta che un dispositivo entra in una rete di questo tipo, chiunque affitti l’accesso può instradare il proprio traffico attraverso quell’IP, mascherando attività sospette o direttamente criminali.
Segui Google su Telegram, ricevi news e offerte per primo
L’intervento di Google: domini sequestrati e app rimosse
Google ha utilizzato un’ordinanza di un tribunale federale statunitense per ottenere la rimozione di decine di domini riconducibili a Ipidea, riuscendo di fatto a colpire non solo i siti pubblici, ma anche l’intera infrastruttura tecnica di back-end dell’azienda.
Secondo quanto dichiarato da Google, Ipidea operava attraverso oltre una dozzina di marchi differenti (tra cui Ipidea, 922 Proxy, Py Proxy e 360 Proxy), tutti disattivati con questa operazione; parallelamente, il colosso di Mountain View ha anche rimosso centinaia di applicazioni affiliate dai dispositivi Android, bloccando alla radice l’accesso alla rete proxy.
Il risultato atteso è particolarmente significativo, circa nove milioni di dispositivi Android dovrebbero essere stati scollegati dalla rete di Ipidea, riducendo drasticamente la sua capacità operativa.
Il ruolo di Play Protect e il rischio per gli utenti Android
Google ha chiarito che Play Protect, il sistema di sicurezza integrato in Android, è già in grado di individuare le app che includono gli SDK di Ipidea, avvisando automaticamente gli utenti e rimuovendo le applicazioni incriminate, oltre a impedire future installazioni.
Tuttavia, come spesso accade in questi casi, il problema non è solo tecnico ma anche comportamentale: gli SDK di Ipidea erano ampiamente disponibili per gli sviluppatori, che venivano pagati in base al numero di installazioni, rendendo facile la diffusione del codice all’interno di app apparentemente legittime.
Una volta incorporato, l’SDK trasformava il dispositivo in un nodo di uscita della rete proxy, continuando al contempo a svolgere la funzione principale dell’app, rendendo la minaccia ancora più difficile da individuare per l’utente medio.
Dalla rete proxy alla botnet Kimwolf
A rendere il quadro ancora più preoccupante è quanto accaduto lo scorso anno, quando un gruppo di hacker ha individuato una falla di sicurezza all’interno della rete di Ipidea; sfruttando questo bug, gli attaccanti sono riusciti a prendere il controllo di almeno due milioni di dispositivi, trasformandoli in una gigantesca botnet denominata Kimwolf.
Questa botnet è stata utilizzata per lanciare attacchi DDoS su scala senza precedenti, inondando i siti web bersaglio con quantità enorme di traffico spazzatura. Secondo i ricercatori di Akamai, Kimwolf rappresenterebbe la botnet più potente mai osservata fino a oggi.
Non è un dettaglio da poco, soprattutto se si considera che, come evidenziato dagli analisti Google, servizi di questo tipo vengono sempre più spesso sfruttati anche da gruppi di hacker legati a governi stranieri, come nel caso del gruppo russo Midnight Blizzard, già responsabile dell’attacco informatico a Microsoft nel 2023.
Ipidea si difende, ma i dubbi restano
Dal canto suo, Ipidea afferma di opporsi a qualsiasi forma di attività illegale e sostiene che i propri servizi siano destinati a usi aziendali legittimi, come la raccolta dati, l’analisi di mercato, la verifica degli annunci pubblicitari e la lotta alle frodi.
La stessa azienda ha ammesso di aver adottato in passato strategie di espansione realmente aggressive, incluse attività promozionali su forum di hacker, dichiarando però di aver successivamente migliorato le proprie pratiche. Resta il fatto che la rete, secondo la portavoce dell’azienda, includeva decine di milioni di dispositivi in oltre 220 Paesi, un dato che da solo basta a spiegare l’attenzione crescente delle autorità e dei ricercatori di sicurezza.
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Cosa dovrebbero fare gli utenti e cosa aspettarsi ora
Al netto dell’intervento di Google, gli esperti invitano gli utenti a prestare la massima attenzione alle app installate, evitando software gratuiti provenienti da fonti poco affidabili, controllando regolarmente le autorizzazioni concesse e rimuovendo applicazioni che non si riconoscono o non si utilizzano più.
Per quanto riguarda il futuro, non è ancora chiaro se l’azione legale di Google riuscirà a smantellare definitivamente l’infrastruttura di Ipidea o se assisteremo, come spesso accade in questi contesti, a una riorganizzazione sotto nuove forme e nuovi nomi. Quel che è certo è che la questione delle reti proxy residenziali è ormai sotto i riflettori e difficilmente tornerà nell’ombra.
- Individuata una famiglia di malware Android che utilizza l’AI per le frodi pubblicitarie
- Cellik è il nuovo pericoloso malware Android che trasforma le app del Play Store in trojan invisibili
- Tre nuovi malware Android stanno prendendo di mira gli utenti
- SmartTube, la popolare alternativa a YouTube su Android TV, è stata compromessa da malware