Google a neutralisé le plus vaste réseau clandestin de serveurs proxy résidentiels au monde. Cette structure détournait la connexion de millions d'utilisateurs à leur insu pour masquer des activités cybercriminelles.
Google vient de frapper un grand coup contre la cybercriminalité en démantelant une infrastructure invisible qui transformait nos smartphones en passerelles pour pirates. Ce réseau, opéré par la firme chinoise Ipidea, utilisait des millions d'appareils Android, mais également des ordinateurs et des objets connectés, comme de simples « portes d'entrée » Internet louées à des tiers. En détournant le trafic via ces appareils domestiques, les acteurs malveillants pouvaient naviguer sur le web en usurpant l'identité numérique de citoyens ordinaires, rendant leurs activités criminelles quasiment intraçables pour les autorités.
Ils partagent leur connexion à des pirates sans même le savoir
L'infiltration de ce réseau reposait sur la stratégie du « cheval de Troie » particulièrement efficace et discrète pour l'utilisateur final. La plupart des victimes ont rejoint, sans le savoir, le réseau d'Ipidea en installant des applications gratuites, des jeux ou des logiciels de bureau contenant un code de proxy dissimulé. Une fois ce kit de développement (SDK) intégré à l'application, l'appareil de l'utilisateur devenait automatiquement un « nœud de sortie». Cela permettait à n'importe quel client d'Ipidea de faire transiter sa propre connexion Internet par le smartphone de la victime, utilisant son adresse IP personnelle.
Le modèle économique de cette entreprise reposait sur la rémunération des développeurs d'applications au nombre de téléchargements, les incitant à intégrer ce code malveillant en échange de revenus. Pour l'utilisateur, l'application semblait fonctionner normalement, mais en arrière-plan, son téléphone servait de bouclier à des activités potentiellement illégales. Google précise que Play Protect tente désormais de bloquer ces installations, mais la prolifération de ces SDK dans l'écosystème des applications gratuites rend la menace persistante pour ceux qui téléchargent hors des sentiers battus.
Ce réseau n'était pas seulement un outil de camouflage, il est aussi devenu une arme de destruction numérique massive l'année dernière. Des hackers ont exploité une faille dans le système d'Ipidea pour prendre le contrôle de deux millions d'appareils, créant un botnet baptisé « Kimwolf ». Ce dernier a été utilisé pour lancer des attaques par déni de service (DDoS) d'une puissance inédite, capables de mettre hors ligne des sites web entiers. Ce précédent a démontré que le risque dépassait la simple confidentialité pour devenir une véritable menace pour la sécurité informatique mondiale.
Neuf millions d'appareils Android déconnectés grâce à l'intervention de Google
L'intervention de Google, appuyée par la justice américaine, a permis de mettre hors ligne des dizaines de sites web et de systèmes dorsaux appartenant à Ipidea. Selon les estimations, cette opération a déconnecté environ neuf millions d'appareils Android qui étaient secrètement rattachés à ce réseau frauduleux. En plus de cette neutralisation technique, Google a supprimé des centaines d'applications associées de son catalogue. Malgré les affirmations d'Ipidea prétendant exercer une activité commerciale légitime, les preuves de pratiques agressives sur des forums de hackers ont justifié cette intervention radicale.
Bien que le démantèlement soit un vrai succès pour le moteur de recherche, les experts invitent les propriétaires de smartphones à la vigilence. Google conseille d'ailleurs aux utilisateurs de passer en revue les autorisations accordées à leurs applications et de supprimer systématiquement celles qu'ils ne reconnaissent plus ou n'utilisent plus.
Le danger réside souvent dans les logiciels provenant de sources inconnues, qui échappent aux scans de sécurité initiaux. Play Protect continue de surveiller les appareils pour avertir les utilisateurs si un code lié à Ipidea tente de s'exécuter de nouveau. En attendant, évitez de télécharger des applications provenant de sources non vérifiées.
Source : Android Authority
