谷歌周三宣布,其与合作伙伴联手成功打击了IPIDEA——这个被描述为世界上最大的住宅代理网络之一的组织。
为此,谷歌表示采取了法律行动,关闭了数十个用于控制设备和通过这些设备代理流量的域名。截至发稿时,IPIDEA的官方网站(www.ipidea.io)已无法访问。该网站此前自称为"全球领先的IP代理服务提供商",拥有超过610万个每日更新的IP地址和69000个每日新增IP地址。
谷歌威胁情报小组首席分析师约翰·胡尔特奎斯特在声明中表示:"住宅代理网络已经成为从高端间谍活动到大规模犯罪计划等各种活动的普遍工具。通过将流量路由到个人家庭互联网连接,攻击者可以在渗透企业环境时隐藏踪迹。通过拆除用于运行IPIDEA网络的基础设施,我们有效地破坏了一个销售数百万被劫持消费者设备访问权限的全球市场。"
谷歌表示,就在本月,IPIDEA的代理基础设施仍被来自全球的超过550个不同威胁组织利用,这些组织具有不同的动机,包括网络犯罪、间谍活动、高级持续性威胁、信息作战等,涉及来自中国、朝鲜、伊朗和俄罗斯等国的行为者。这些活动涵盖了对受害者SaaS环境、本地基础设施的访问以及密码喷射攻击。
在本月早些时候发布的分析中,Synthient披露了AISURU/Kimwolf僵尸网络背后的威胁行为者正在滥用IPIDEA等住宅代理服务中的安全漏洞,将恶意命令中继到防火墙后的本地网络中易受攻击的物联网设备,从而传播恶意软件。
将消费者设备转换为代理端点的恶意软件被秘密捆绑在非品牌Android TV流媒体盒子预装的应用和游戏中。这迫使被感染的设备中继恶意流量并参与分布式拒绝服务攻击。
据说IPIDEA还发布了独立应用程序,直接向寻求"轻松赚钱"的人们推销,公然宣传他们会付费给消费者安装该应用并允许其使用他们的"未使用带宽"。
虽然住宅代理网络提供了通过互联网服务提供商拥有的IP地址路由流量的能力,但这也为寻求掩盖其恶意活动来源的不良行为者提供了完美的掩护。
谷歌威胁情报小组解释说:"为了做到这一点,住宅代理网络运营商需要在消费者设备上运行代码,将它们注册到网络中作为出口节点。这些设备要么预装了代理软件,要么在用户无意中下载了嵌入代理代码的木马化应用程序时加入代理网络。一些用户可能会故意在其设备上安装此软件,被'货币化'其备用带宽的承诺所吸引。"
这家科技巨头的威胁情报团队表示,IPIDEA因其在促进多个僵尸网络方面的作用而臭名昭著,包括基于中国的BADBOX 2.0。2025年7月,谷歌对25名在中国的未具名个人或实体提起诉讼,指控他们操作该僵尸网络及其相关的住宅代理基础设施。
该公司还指出,来自IPIDEA的代理应用程序不仅通过出口节点设备路由流量,还向设备发送流量以试图破坏它,这对那些可能有意或无意加入代理网络的消费者的设备构成了严重风险。
支持IPIDEA的代理网络不是一个单一实体,而是由其控制的多个知名住宅代理品牌的集合,包括Ipidea、360 Proxy、922 Proxy、ABC Proxy、Cherry Proxy、Door VPN、Galleon VPN、IP 2 World、Luna Proxy、PIA S5 Proxy、PY Proxy、Radish VPN、Tab Proxy等。
谷歌表示:"控制这些品牌的同一批行为者还控制着与住宅代理软件开发工具包相关的几个域名。这些SDK不是作为独立应用程序安装或执行的,而是嵌入到现有应用程序中的。"
这些SDK被作为Android、Windows、iOS和WebOS应用程序的货币化方式向第三方开发者推销。将SDK集成到其应用中的开发者按下载量获得IPIDEA的付费。这反过来将安装这些应用的设备转变为代理网络的节点,同时提供宣传的功能。IPIDEA行为者控制的SDK包括Castar SDK、Earn SDK、Hex SDK、Packet SDK等。
这些SDK在其命令控制基础设施和代码结构方面有显著重叠。它们遵循两层命令控制系统,被感染的设备联系第一层服务器以检索一组要连接的第二层节点。然后应用程序启动与第二层服务器的通信,定期轮询通过设备代理的有效负载。谷歌的分析发现大约有7400个第二层服务器。
除了代理服务,IPIDEA行为者还被发现控制提供免费虚拟专用网络工具的域名,这些工具也被设计为通过整合Hex或Packet SDK作为出口节点加入代理网络。这些VPN服务包括Galleon VPN、Radish VPN、Aman VPN等。
此外,谷歌威胁情报小组表示,它识别出3075个独特的Windows二进制文件,这些文件已向至少一个第一层域名发送请求,其中一些伪装成OneDriveSync和Windows Update。这些木马化的Windows应用程序并非由IPIDEA行为者直接分发。多达600个来自多个下载来源的Android应用程序(涵盖实用程序、游戏和内容)因包含连接到第一层命令控制域名的代码而被标记,这些代码使用货币化SDK来启用代理行为。
在与《华尔街日报》分享的声明中,这家中国公司的发言人表示,该公司进行了"相对激进的市场扩张策略"并"在不当场所(如黑客论坛)开展促销活动",并且"明确反对任何形式的非法或滥用行为"。
为了对抗这一威胁,谷歌表示已更新Google Play Protect,自动警告用户包含IPIDEA代码的应用程序。对于认证的Android设备,系统将自动删除这些恶意应用程序并阻止任何未来安装它们的尝试。
谷歌表示:"虽然代理提供商可能声称无知或在收到通知时关闭这些安全漏洞,但由于故意模糊的所有权结构、经销商协议和应用程序的多样性,执法和验证是具有挑战性的。"
Q&A
Q1:IPIDEA是什么?为什么被谷歌打击?
A:IPIDEA是世界上最大的住宅代理网络之一,拥有超过610万个每日更新IP地址。它被打击是因为其基础设施被全球550多个威胁组织用于网络犯罪、间谍活动和恶意攻击,通过将恶意软件捆绑在应用中,将消费者设备变成代理节点来掩盖攻击者身份。
Q2:住宅代理网络是如何威胁普通用户的?
A:住宅代理网络通过在消费者设备上运行代码,将设备转变为代理节点。恶意软件被秘密捆绑在Android TV盒子的预装应用中,或通过承诺"轻松赚钱"诱导用户安装。这不仅让设备中继恶意流量,还可能遭受攻击,严重威胁用户设备安全。
Q3:谷歌采取了哪些措施来保护用户?
A:谷歌已更新Google Play Protect系统,自动警告用户包含IPIDEA代码的应用程序。对于认证的Android设备,系统会自动删除这些恶意应用并阻止未来安装。同时谷歌还采取法律行动关闭了数十个用于控制设备的域名,有效破坏了整个恶意网络基础设施。
