Na última quarta-feira, o Google anunciou uma ação conjunta com parceiros para desmantelar o IPIDEA, uma das maiores redes de residential proxy do mundo.
A empresa informou ter adotado medidas legais para derrubar dezenas de domínios usados no controle de dispositivos e no roteamento de tráfego por meio deles.
Atualmente, o site oficial do IPIDEA (www.ipidea.io) está fora do ar.
Até então, a plataforma se autodenominava o “principal provedor mundial de IP proxy”, com mais de 6,1 milhões de endereços IP atualizados diariamente e 69 mil novos IPs adicionados a cada dia.
John Hultquist, analista-chefe do Google Threat Intelligence Group (GTIG), destacou o perigo dessas redes.
Segundo ele, os residential proxies são ferramentas comuns, utilizadas desde espionagem sofisticada até esquemas criminosos em larga escala.
“Ao rotear o tráfego pela conexão residencial de uma pessoa, os atacantes conseguem se esconder à vista de todos enquanto invadem ambientes corporativos.
Ao derrubar a infraestrutura do IPIDEA, conseguimos desmantelar um mercado global que vendia acesso a milhões de dispositivos de consumidores sequestrados.”
O Google também revelou que, até recentemente, a infraestrutura do IPIDEA era usada por mais de 550 grupos de ameaça com motivações variadas, como cibercrime, espionagem, operações avançadas persistentes (APTs) e campanhas de desinformação, originários de países como China, Coreia do Norte, Irã e Rússia.
Essas atividades incluíam acesso a ambientes SaaS e infraestrutura local, além de ataques de password spray.
Um estudo recente da Synthient mostrou que atores maliciosos por trás do botnet AISURU/Kimwolf exploravam falhas em serviços de residential proxy, como o IPIDEA, para enviar comandos a dispositivos IoT vulneráveis atrás de firewalls, propagando malware.
Esse malware, capaz de transformar dispositivos consumidores em nós finais de proxy, é instalado secretamente em aplicativos e jogos já pré-instalados em boxes de streaming Android TV de marcas pouco conhecidas.
Dessa forma, esses dispositivos infectados passam a retransmitir tráfego malicioso e a participar de ataques distribuídos de negação de serviço (DDoS).
Além disso, o IPIDEA lançou apps independentes, voltados diretamente a usuários interessados em ganhar “dinheiro fácil”, oferecendo pagamento para que instalassem os aplicativos e permitissem o uso de sua “banda ociosa”.
As redes de residential proxy permitem roteamento de tráfego por endereços IP fornecidos por provedores de internet (ISPs), mas também são ideais para criminosos disfarçarem a origem das ações maliciosas.
“Para isso, os operadores dessas redes precisam de código rodando em dispositivos consumidores que os transformem em nós de saída”, explicou o GTIG.
Esses dispositivos podem vir com software proxy pré-instalado ou integrar a rede quando usuários baixam apps trojanizados sem saber.
Alguns usuários podem até instalar conscientemente, atraídos pela promessa de “monetizar” sua banda ociosa.
A equipe de inteligência do Google destacou a notoriedade do IPIDEA por facilitar a operação de vários botnets, como o BADBOX 2.0, sediado na China.
Em julho de 2025, a empresa abriu uma ação judicial contra 25 indivíduos ou entidades não identificados na China, acusados de operar o botnet e sua infraestrutura de residential proxies.
O Google também chamou atenção para o fato de que os apps proxy do IPIDEA não apenas roteavam tráfego, mas também enviavam comandos para comprometer os dispositivos usados como nós de saída, representando riscos graves para consumidores que, deliberada ou involuntariamente, participavam da rede.
A rede que alimenta o IPIDEA não é única, mas reúne diversas marcas conhecidas de residential proxies sob seu controle, entre elas:
- Ipidea (ipidea[.]io)
- 360 Proxy (360proxy[.]com)
- 922 Proxy (922proxy[.]com)
- ABC Proxy (abcproxy[.]com)
- Cherry Proxy (cherryproxy[.]com)
- Door VPN (doorvpn[.]com)
- Galleon VPN (galleonvpn[.]com)
- IP 2 World (ip2world[.]com)
- Luna Proxy (lunaproxy[.]com)
- PIA S5 Proxy (piaproxy[.]com)
- PY Proxy (pyproxy[.]com)
- Radish VPN (radishvpn[.]com)
- Tab Proxy (tabproxy[.]com)
Esses mesmos atores também controlam domínios de Software Development Kits (SDKs) para residential proxies, que não são apps autônomos, mas se integram a aplicativos existentes.
Esses SDKs são oferecidos a desenvolvedores como ferramenta para monetizar apps em Android, Windows, iOS e WebOS.
Quando integrados, transformam dispositivos em nós da rede proxy, mantendo a funcionalidade prometida.
Os SDKs identificados são:
- Castar SDK (castarsdk[.]com)
- Earn SDK (earnsdk[.]io)
- Hex SDK (hexsdk[.]com)
- Packet SDK (packetsdk[.]com)
A infraestrutura de comando e controle (C2) dos SDKs tem arquitetura em dois níveis: os dispositivos infectados contatam servidores Tier One para obter uma lista de servidores Tier Two, com os quais estabelecem comunicação para receber cargas úteis e rotear tráfego.
O Google identificou cerca de 7.400 servidores Tier Two.
Além dos proxies, os atores ligados ao IPIDEA controlam domínios que oferecem ferramentas gratuitas de VPN, também projetadas para se integrar como nós de saída na rede, utilizando os SDKs Hex ou Packet.
Entre essas VPNs estão:
- Galleon VPN (galleonvpn[.]com)
- Radish VPN (radishvpn[.]com)
- Aman VPN (fora de operação)
O GTIG também identificou 3.075 arquivos binários únicos para Windows que fizeram requisições a pelo menos um domínio Tier One, alguns disfarçados como OneDriveSync e Windows Update.
Esses apps trojanizados para Windows não eram distribuídos diretamente pelos operadores do IPIDEA.
Além disso, cerca de 600 apps Android — entre utilitários, jogos e conteúdos, disponíveis em várias fontes — foram detectados com código que conecta aos domínios Tier One usando os SDKs de monetização para habilitar a função de proxy.
Um porta-voz da empresa chinesa responsável afirmou ter adotado “estratégias de expansão de mercado relativamente agressivas” e realizado “atividades promocionais em locais inadequados (como fóruns de hackers)”, mas declarou “oposição explícita a qualquer conduta ilegal ou abusiva”.
Para combater a ameaça, o Google atualizou o Google Play Protect, que agora avisa automaticamente os usuários sobre apps contendo código do IPIDEA.
Em dispositivos Android certificados, o sistema remove esses apps maliciosos e bloqueia tentativas futuras de instalação.
“Onde provedores de proxy alegam desconhecimento ou corrigem brechas após notificações, a fiscalização e a verificação são dificultadas pela complexidade das estruturas de propriedade, acordos de revenda e diversidade de aplicativos”, concluiu o Google.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...