Google объявила о разгроме одной из крупнейших в мире сетей прокси, использовавшейся для кибершпионажа и атак

Резидентские прокси-сети, в отличие от традиционных, продают доступ к IP-адресам, принадлежащим обычным интернет-провайдерам и назначенным домашним пользователям. Злоумышленники используют их, чтобы скрыть истинное происхождение трафика, выдавая его за легитимную активность рядового абонента. Это создаёт серьёзные проблемы для систем безопасности, затрудняя обнаружение и блокировку атак. Для работы такой сети требуются миллионы устройств-узлов, часто вовлекаемых без ведома владельцев.

Специалисты Google установили, что IPIDEA является ключевым элементом цифровой экосистемы, используемым самыми разными враждебными субъектами. В течение лишь одной недели января 2026 года через узлы этой сети осуществляли активность более 550 отслеживаемых угрозовых группировок из Китая, КНДР, Ирана и России. Их действия включали несанкционированный доступ к SaaS-средам, внутренней инфраструктуре жертв и атаки методом перебора паролей (password spray attacks).

Основным механизмом расширения сети стали скрытно внедряемые пакеты для разработки (Software Development Kits, SDK). Эти SDK, такие как PacketSDK, CastarSDK, HexSDK и EarnSDK, предлагались разработчикам приложений как способ монетизации. Однако после интеграции в программу код превращал устройство пользователя в прокси-узел, часто без какого-либо уведомления или согласия. Анализ показал, что множество, казалось бы, независимых брендов прокси и VPN, включая 922 Proxy, Luna Proxy и Door VPN, на самом деле контролируются одной и той же группой, стоящей за IPIDEA.

Инфраструктура управления скомпрометированными устройствами использовала двухуровневую систему командных серверов (Command-and-Control, C2). После запуска приложение связывалось с сервером первого уровня для получения списка серверов второго уровня, которые непосредственно отдавали задачи по проксированию трафика. Исследователи обнаружили обширные пересечения в C2-инфраструктуре различных SDK, что подтвердило их общее происхождение и управление.

Угроза для обычных пользователей была значительной. Устройство, ставшее узлом сети, пропускало через себя несанкционированный трафик, что могло привести к блокировке его IP-адреса различными сервисами. Более того, такие прокси-приложения зачастую содержали уязвимости, позволяя злоумышленникам получать доступ к другим устройствам в домашней сети жертвы. Анализ Google подтвердил, что трафик направлялся не только через устройство, но и на него, с целью его дальнейшего компрометирования.

В ответ Google предприняла комплекс мер для разрушения инфраструктуры IPIDEA. Были поданы судебные иски для изъятия доменов, используемых для управления устройствами и маркетинга прокси-услуг. Встроенная защита Android, Google Play Protect, автоматически предупреждает пользователей и удаляет приложения, содержащие вредоносные SDK IPIDEA, блокируя их будущую установку. Кроме того, Google активно делилась технической разведкой с правоохранительными органами, другими технологическими компаниями и исследовательскими фирмами, включая Cloudflare, чтобы нарушить разрешение доменных имён злоумышленников.

Эксперты Google подчёркивают, что, несмотря на успех операции, рынок резидентских прокси продолжает быстро расти, оставаясь «серой зоной», которая процветает за счёт обмана пользователей и предоставляет прикрытие для глобального шпионажа и киберпреступности. Компания призывает потребителей быть крайне осторожными с приложениями, предлагающими оплату за «неиспользуемый трафик», использовать только официальные магазины приложений и проверять сертификацию своих Android-устройств. Также необходимы дальнейшие усилия индустрии по обмену информацией и разработке политик, требующих от прокси-провайдеров прозрачного и проверяемого согласия пользователей.

Domains

• 00857cca77b615c369f48ead5f8eb7f3.com
• 0aa0cf0637d66c0d.com
• 31d58c226fc5a0aa976e13ca9ecebcc8.com
• 3k7m1n9p4q2r6s8t0v5w2x4y6z8u9.com
• 442fe7151fb1e9b5.com
• 6b86b273ff34fce1.online
• 7x2k9n4p1q0r5s8t3v6w0y2z4u7b9.com
• 8b21a945159f23b740c836eb50953818.com
• 8f00b204e9800998.com
• a7b37115ce3cc2eb.com
• a8d3b9e1f5c7024d6e0b7a2c9f1d83e5.com
• aa86a52a98162b7d.com
• af4760df2c08896a9638e26e7dd20aae.com
• b5e9a2d7f4c8e3b1a0d6f2e9c5b8a7d.com
• bdrv7wlbszfotkqf.uk
• cfe47df26c8eaf0a7c136b50c703e173.com
• e4f8c1b9a2d7e3f6c0b5a8d9e2f1c4d.com
• hexsdk.com
• packetsdk.io
• packetsdk.net
• packetsdk.xyz
• v46wd6uramzkmeeo.in
• willmam.com

SHA256

• 01ac6012d4316b68bb3165ee451f2fcc494e4e37011a73b8cf2680de3364fcf4
• 2d1891b6d0c158ad7280f0f30f3c9d913960a793c6abcda249f9c76e13014e45
• 59cbdecfc01eba859d12fbeb48f96fe3fe841ac1aafa6bd38eff92f0dcfd4554
• aef34f14456358db91840c416e55acc7d10185ff2beb362ea24697d7cdad321f
• b0726bdd53083968870d0b147b72dad422d6d04f27cd52a7891d038ee83aef5b
• ba9b1f4cc2c7f4aeda7a1280bbc901671f4ec3edaa17f1db676e17651e9bff5f