Google desmantela vasta rede de proxies residenciais

A Google revelou esta semana ter interrompido as operações da IPIDEA, considerada uma das maiores redes de proxies residenciais a nível mundial, após uma ação concertada que envolveu medidas legais e partilha de inteligência com vários parceiros do setor.

De acordo com a empresa, os operadores da IPIDEA recorriam a kits de desenvolvimento de software (SDK) e aplicações de proxy que eram integrados por programadores em aplicações móveis e de desktop. Uma vez instaladas, estas aplicações transformavam os dispositivos dos utilizadores em nós de saída da rede de proxies, frequentemente sem qualquer informação clara ou consentimento explícito.

A operação de desmantelamento incluiu ações legais contra domínios usados para controlo e gestão da rede, bem como a identificação e neutralização dos SDK e do software associados. Segundo a Google, estas medidas reduziram “em milhões” o número de dispositivos disponíveis para os operadores, causando uma degradação significativa da rede e do modelo de negócio da IPIDEA.

A empresa alerta ainda que, devido a acordos de revenda entre diferentes operadores de proxies, a interrupção da IPIDEA poderá ter efeitos indiretos noutras entidades associadas. A investigação aponta para o controlo, por parte dos mesmos atores, de mais de uma dezena de marcas independentes de proxies e VPN, bem como de vários domínios relacionados com SDK utilizados para proxies residenciais.

Entre os SDK identificados encontram-se o Castar SDK, Earn SDK, Hex SDK e Packet SDK, compatíveis com Android, iOS, Windows e WebOS. Estes componentes eram promovidos como ferramentas de monetização para developers, que eram pagos, regra geral, por instalação. Na prática, após a instalação das aplicações, os dispositivos dos utilizadores passavam a integrar a infraestrutura de proxy.

A Google sublinha que, apesar de muitos fornecedores de proxies residenciais alegarem obter endereços IP de forma ética, a sua análise demonstrou que essas afirmações são frequentemente incorretas ou exageradas. Em muitos dos casos analisados, as aplicações não divulgavam que os dispositivos seriam usados como parte da rede IPIDEA.

A infraestrutura da rede assentava num modelo de dois níveis: os dispositivos ligavam-se inicialmente a domínios de primeiro nível para receber instruções sobre servidores de segundo nível. Embora os domínios iniciais variassem consoante o SDK, todos recorriam a um conjunto partilhado de cerca de 7.400 servidores de segundo nível, cujo número variava diariamente consoante a procura.

Foram igualmente identificadas aplicações VPN que, apesar de fornecerem funcionalidades legítimas, integravam os dispositivos na rede de proxies, incluindo aplicações como Galleon VPN, Radish VPN e Aman VPN. A investigação identificou mais de três mil ficheiros executáveis únicos em Windows e mais de 600 aplicações Android a comunicar com os domínios associados à operação.

Além das ações legais, a Google atualizou as políticas do Google Play Protect para remover os SDK da IPIDEA de dispositivos Android certificados. A empresa trabalhou em colaboração com organizações como a Spur, a Black Lotus Labs da Lumen e a Cloudflare, que contribuiu para bloquear a resolução de domínios usados para controlo e comercialização da rede, limitando a capacidade dos operadores de gerir dispositivos comprometidos.