Google mengganggu jaringan proxy perumahan IPIDEA yang dipicu oleh malware

IPIDEA, salah satu jaringan proxy perumahan terbesar yang digunakan oleh pelaku ancaman, diganggu awal pekan ini oleh Google Threat Intelligence Group (GTIG) yang bekerja sama dengan mitra industri.

Tindakan tersebut termasuk menghapus domain yang terkait dengan layanan IPIDEA, manajemen perangkat yang terinfeksi, dan perutean lalu lintas proxy. Selain itu, intelijen telah dibagikan pada perangkat pengembangan perangkat lunak (SDK) IPIDEA yang mendistribusikan alat proksi.

Operator IPIDEA mengiklankannya sebagai layanan VPN yang “mengenkripsi lalu lintas online Anda dan menyembunyikan alamat IP asli Anda”, yang digunakan oleh 6,7 juta pengguna di seluruh dunia.

Jaringan proxy perumahan menggunakan alamat IP pengguna rumahan atau bisnis kecil untuk merutekan lalu lintas setelah perangkat di jaringan disusupi. Biasanya, infeksi terjadi melalui aplikasi dan perangkat lunak yang di-trojanisasi yang menyamar sebagai utilitas yang berguna.

Di sebuah surat pengadilanGoogle menjelaskan bahwa pelaku ancaman menggunakan proxy perumahan dalam berbagai aktivitas jahat, seperti pengambilalihan akun, pembuatan akun palsu, pencurian kredensial, dan penyelundupan informasi sensitif.

“Dengan merutekan lalu lintas melalui serangkaian perangkat konsumen di seluruh dunia, penyerang dapat menyamarkan aktivitas jahat mereka dengan membajak alamat IP ini. Hal ini menimbulkan tantangan yang signifikan bagi pembela jaringan untuk mendeteksi dan memblokir aktivitas jahat,” kata Google dalam laporannya hari ini.

Dalam kasus IPIDEA, GTIG mengamati serangkaian aktivitas jahat, dengan lebih dari 550 kelompok ancaman berbeda menggunakan titik keluarnya dalam satu minggu, termasuk pelaku dari Tiongkok, Iran, Rusia, dan Korea Utara.

Aktivitas yang diamati mencakup akses ke platform SaaS korban, penyemprotan kata sandi, kontrol botnet, dan kebingungan infrastruktur. Sebelumnya, Cisco Talos menghubungkan IPIDEA hingga serangan brute force berskala besar yang menargetkan layanan VPN dan SSH.

Infrastruktur IPIDEA juga mendukung botnet DDoS yang memecahkan rekor seperti Aisuru Dan Kimwolf.

Google mengatakan IPIDEA mendaftarkan perangkat menggunakan setidaknya 600 aplikasi Android trojan yang menyematkan SDK proxy (Packet SDK, Castar SDK, Hex SDK, Earn SDK), dan lebih dari 3.000 biner Windows trojan yang menyamar sebagai OneDriveSync atau Pembaruan Windows.

IPIDEA mempromosikan beberapa aplikasi VPN dan proxy kepada pengguna Android yang secara diam-diam mengubah perangkat mereka menjadi node keluar proxy tanpa sepengetahuan atau persetujuan mereka.

Menurut Google, operator IPIDEA menjalankan setidaknya 19 bisnis proxy perumahan yang berpura-pura menjadi layanan sah dan menjual akses ke perangkat yang disusupi malware BadBox 2.0. Beberapa merek asosiasi tercantum di bawah ini:

• 360 Proksi (360proxy.com)

• 922 Proksi (922proxy.com)

• Proksi ABC (abcproxy.com)

• Proksi Ceri (cherryproxy.com)

• VPN Pintu (doorvpn.com)

• Galleon VPN (galleonvpn.com)

• IP 2 Dunia (ip2world.com)

• Hypidea (ipidea.io)

• Proksi Luna (lunaproxy.com)

• Proksi PIA S5 (piaproxy.com)

• Proksi PY (pyproxy.com)

• VPN Lobak (radishvpn.com)

• Tab Proksi (tabproxy.com)

• Aman VPN (tidak berfungsi)

Meskipun terdapat banyak merek, semua layanan terhubung ke infrastruktur terpusat di bawah kendali tunggal operator IPIDEA, yang masih belum teridentifikasi.

Google Play Protect kini secara otomatis mendeteksi dan memblokir aplikasi yang menyertakan SDK terkait IPIDEA pada perangkat Android tersertifikasi dan terkini.

Mengenai strukturnya, Google menjelaskan bahwa IPIDEA beroperasi pada sistem command-and-control (C2) dua tingkat. Tingkat pertama menyediakan konfigurasi dan waktu, dan daftar node untuk tingkat kedua.

Menurut para peneliti, tingkat kedua terdiri dari sekitar 7.400 server yang menugaskan tugas proxy dan menyampaikan lalu lintas.

Peneliti Google mencatat bahwa operator jaringan juga menawarkan layanan VPN gratis melalui aplikasi yang menyediakan fungsi yang diiklankan. Namun, perangkat tersebut ditambahkan ke jaringan IPIDEA, bertindak sebagai node keluar.

Meskipun tindakan GTIG dan mitranya kemungkinan besar berdampak signifikan terhadap operasi IPIDEA, pelaku ancaman mungkin mencoba membangun kembali infrastrukturnya. Saat ini, tidak ada penangkapan atau dakwaan yang diumumkan.

Pengguna harus tetap berhati-hati terhadap aplikasi yang menawarkan pembayaran sebagai ganti bandwidth, serta aplikasi VPN dan proxy gratis dari penerbit yang tidak bereputasi baik.