Un’operazione condotta da Google, con il supporto di un tribunale federale statunitense, ha portato alla disattivazione di una struttura digitale che sfruttava dispositivicome nodi di instradamento. Secondo quanto comunicato dall’azienda, milioni di smartphone Android, insieme a computer e altri apparati connessi, venivano coinvolti senza consenso in un sistema che consentiva a soggetti esterni di far transitare il proprio traffico attraverso indirizzi IP privati. In questo modo, le attività apparivano originate da utenti ignari, favorendo anonimato forzato e riduzione della tracciabilità. Le indagini hanno collegato l’infrastruttura a Ipidea, società con sede in Cina, indicata come gestore della più ampia rete di proxy residenziali mai individuata. L’azione giudiziaria ha determinato la chiusura di decine di siti e server backend usati per coordinare le connessioni, riducendo drasticamente la capacità operativa del sistema.
App gratuite e software come veicolo nascosto
L’analisi tecnica ha evidenziato che la diffusione avveniva tramite applicazioni gratuite, videogiochi e programmi desktop che includevano in modo occulto componenti proxy. Una volta installata l’applicazione, il dispositivo continuava a svolgere la funzione dichiarata, mentre in parallelo diventava un punto di uscita per il traffico di terzi. Gli sviluppatori coinvolti venivano compensati in base al numero di download, pratica che incentivava l’integrazione del codice. Play Protect, il sistema di sicurezza integrato in Android, ha identificato tali applicazioni come pericolose, procedendo alla rimozione automatica e al blocco di nuove installazioni. Google ha riferito di aver eliminato centinaia di app legate all’ecosistema Ipidea e di aver disconnesso circa nove milioni di dispositivi. I ricercatori hanno inoltre osservato che il software poteva esporre anche altri apparati presenti sulla stessa rete domestica, ampliando il raggio d’azione potenziale.
Durante una settimana di monitoraggio, il team Threat Intelligence ha registrato oltre 550 gruppi di minaccia impegnati nell’uso di indirizzi IP appartenenti alla rete per attività di cybercrime, intrusioni e campagne automatizzate. Già l’anno precedente una vulnerabilità connessa a dispositivi simili aveva favorito la creazione della botnet Kimwolf, impiegata per attacchi DDoS su vasta scala. La risposta ha coinvolto anche partner esterni, con interventi su domini e servizi di comando e controllo per rendere inefficace parte dell’architettura. Ipidea ha dichiarato di non sostenere condotte illegali e di offrire servizi per scopi aziendali leciti, riconoscendo l’uso passato di strategie promozionali aggressive poi interrotte. L’episodio conferma come app apparentemente innocue possano trasformarsi in strumenti di occultamento digitale, con ricadute dirette sulla sicurezza delle reti private.
