СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:31
#ИБ

Сеть IPIDEA: массовые residential-прокси с SDK, C2 и троянами

Кратко: специалисты Google совместно с партнёрами разоблачили и частично нейтрализовали прокси‑сеть IPIDEA, которая использовалась для сокрытия источников вредоносной активности. Сеть базировалась на механизме residential proxy и включала сложную иерархическую инфраструктуру управления (C2) и набор SDK, интегрируемых в легитимно выглядящие приложения.

Что такое residential proxy и почему это опасно

Residential proxy — это прокси‑решения, которые маршрутизируют трафик через IP‑адреса, принадлежащие обычным интернет‑пользователям. В отличие от традиционных прокси, такие сети позволяют злоумышленникам маскировать источник трафика под реальные домашние адреса, что существенно затрудняет обнаружение и блокировку.

Как работала инфраструктура IPIDEA

IPIDEA управлялась через несколько брендов, контролируемых одними и теми же операторами. В основе работы лежали SDK, встроенные в приложения:

  • EarnSDK, PacketSDK, CastarSDK, HexSDK
  • эти SDK внедряли функционал для связи с иерархической структурой C2 и обеспечивали подключение устройств в сеть прокси;
  • при инициализации устройство связывалось с сервером первого уровня, который перенаправлял трафик на два узла второго уровня для операций проксирования;
  • связь между узлами строилась через TCP‑пакеты с закодированной JSON‑полезной нагрузкой для динамического назначения вредоносных директив.

Масштабы и вектор распространения

Анализ показал, что IPIDEA оперировала глобальной сеткой примерно из 7400 серверов второго уровня, доступность которых менялась в зависимости от спроса. Для распространения использовались как вредоносные бинарные файлы, так и легитимно выглядящие приложения.

  • Обнаружено более 3000 уникальных двоичных файлов Windows.
  • Выявлено свыше 600 Android‑приложений, которые включали код для привязки к доменам первого уровня C2.
  • Часто эти приложения выглядели безобидно, но содержали SDK для монетизации и скрытого подключения к прокси‑сети.
  • Особенно отмечены «бесплатные VPN‑приложения», которые ложно рекламировали функциональность и тайно подключали устройства к IPIDEA, не информируя пользователя.

Предпринятые меры

В ответ на расследование были реализованы комплексные меры:

  • юридические действия по удалению доменов C2 и маркетинговых веб‑сайтов, связанных с прокси‑продуктами;
  • координация и сотрудничество с другими security‑фирмами и поставщиками облачных услуг для разрушения инфраструктуры;
  • блокировки и иные технические меры, направленные на ограничение доступности серверов второго уровня.

Рекомендации для пользователей и организаций

Расследование подчёркивает необходимость усиления бдительности. Практические советы:

  • Будьте осторожны с приложениями, обещающими оплату за «неиспользованную полосу пропускания» — такие предложения часто используются для набора прокси‑узлов.
  • Скачивайте приложения только из официальных магазинов и проверяйте отзывы и историю разработчика.
  • Внимательно изучайте разрешения приложений: подозрительные запросы на сетевые или фоновый доступ должны вызывать вопросы.
  • Организациям — мониторить исходящий трафик и наличии аномалий, а также внедрять средства обнаружения компрометации конечных устройств.

Призыв к подотчётности и сотрудничеству

Авторы расследования и involved стороны призывают к повышенной подотчётности среди провайдеров residential proxy: любые заявления об этических практиках должны сопровождаться прозрачным согласием пользователя. Кроме того, необходимо постоянное сотрудничество между технологическими компаниями, поставщиками облачных услуг и правоохранительными органами для оперативной нейтрализации подобных сетей.

Вывод: инцидент с IPIDEA показывает, что масштабные proxy‑сети способны эффективно маскировать вредоносную активность, используя легитимно выглядящие приложения и инфраструктуру. Своевременное сотрудничество отрасли и внимательное поведение пользователей — ключ к минимизации рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: