Google derruba rede ‘invisível’ que usava seu celular criminalmente sem você saber

IPIDEA transformava Android e outros aparelhos em rotas para crimes digitais

Luiz Dias
-
Segundo o Google, mais de 9 mil dispostivos Android foram liberados da rede

Segundo o Google, mais de 9 mil dispostivos Android foram liberados da rede | Freepik

O Google anunciou que desativou a IPIDEA, uma rede silenciosa que transformava celulares, PCs e aparelhos conectados em “proxies residenciais” usados por criminosos. A operação mirou uma infraestrutura que funcionava sem o usuário perceber.

Esse tipo de proxy se apoia em conexões reais de internet doméstica. Por isso, o tráfego malicioso fica mais difícil de identificar e bloquear do que em proxies de data center, que costumam ser barrados com mais facilidade.

Ao se camuflar como um IP residencial, o criminoso tornava assim a máquina uma fachada segura, um "testa de ferro" dos golpes digitais (Fotos: Freepik)
Ao se camuflar como um IP residencial, o criminoso tornava assim a máquina uma fachada segura, um “testa de ferro” dos golpes digitais (Fotos: Freepik)
Essa é uma das medidas de empresas de tecnologia para tentar barrar o aumento dos ataques digitais registrado nos últimos anos
Essa é uma das medidas de empresas de tecnologia para tentar barrar o aumento dos ataques digitais registrado nos últimos anos
Ao contrário da maioria dos golpes digitais, esse golpe era usado para mascarar a origem real dos ataques ao invés de atacar diretamente o alvo
Ao contrário da maioria dos golpes digitais, esse golpe era usado para mascarar a origem real dos ataques ao invés de atacar diretamente o alvo

Segundo a empresa, cerca de nove milhões de dispositivos Android foram liberados e centenas de aplicativos ligados ao esquema saíram de circulação. A interrupção não apaga o risco por completo, mas enfraquece a rede. 

Como a IPIDEA escondia ataques em conexões ‘normais’

Redes de proxy residenciais não são um tema popular fora da segurança digital. Mesmo assim, o mecanismo é direto: em vez de atacar a partir de servidores, o criminoso usa IPs de residências, como se fosse um usuário comum.

Na prática, isso cria um disfarce poderoso. A atividade passa por rotas que parecem legítimas e, assim, fica mais difícil separar o que é navegação normal do que é abuso. Além disso, os bloqueios automáticos perdem eficiência.

A IPIDEA levou essa estratégia a uma escala grande. O Google descreve um “exército” de dispositivos usados como nós de saída, algo que permite ocultar origem, espalhar tentativas e ampliar operações sem chamar atenção de início.

O papel de aplicativos e SDKs na captura silenciosa

De acordo com o Grupo de Inteligência de Ameaças do Google, a estrutura da IPIDEA estava embutida em centenas de aplicativos e SDKs usados por desenvolvedores para monetização. Entre eles, PacketSDK, EarnSDK, HexSDK e CastarSDK.

Uma vez instalado, o pacote podia recrutar o aparelho para o conjunto de proxies sem aviso claro ao usuário. Assim, o celular virava uma rota de saída para tráfego de terceiros, como se estivesse “emprestando” internet para alguém desconhecido.

Esse desenho favorece o abuso porque se mistura ao cotidiano. O usuário instala um app comum, aceita permissões e segue a vida. Enquanto isso, o dispositivo pode ser usado como parte da infraestrutura que dá suporte a ataques. Ataques similares podem ocorrer por meio de sinais de bluetooth abertos.

Quem se beneficiava e para quais tipos de crime

O Google afirma que os proxies sustentaram atividades como preenchimento de credenciais, espionagem, ataques DDoS e ocultação de comando e controle. Além disso, a rede teria sido usada por mais de 550 grupos monitorados em apenas uma semana.

Entre esses grupos, o relato inclui criminosos experientes e APTs ligados à China, Rússia, Irã e Coreia do Norte. Nesse cenário, o proxy residencial vira peça-chave porque mascara a origem e dificulta o rastreio inicial.

Com uma base grande de IPs residenciais, o atacante também consegue distribuir tentativas, testar alvos e manter operações mais tempo. Dessa forma, a infraestrutura vira um “serviço” alugável, com impacto direto no ecossistema de fraudes.

O que o Google fez para derrubar a rede

A ação combinou medidas legais e técnicas. A empresa afirma ter derrubado dezenas de domínios ligados à IPIDEA, que operavam a rede e divulgavam os SDKs e os serviços de proxy usados no esquema.

Em seguida, o Google atualizou o Play Protect para identificar e remover aplicativos Android afetados. Além disso, compartilhou informações com parceiros como a Black Lotus Labs da Lumen, a Cloudflare e outros, para interromper sistemas de back-end.

O resultado, segundo o Google, foi uma queda de milhões no número de dispositivos comprometidos disponíveis para uso indevido. Nem toda a rede foi atingida, mas a interrupção torna mais difícil expandir o abuso no futuro.

O que muda para quem usa Android no dia a dia

O caso mostra como um app pode ter “camadas” além da função principal. Por isso, vale entender os efeitos práticos do tipo de operação descrita pelo Google:

  • Seu dispositivo pode virar rota de tráfego de terceiros sem você notar.
  • Atividades criminosas podem se esconder atrás do seu IP residencial.
  • Remover apps comprometidos reduz a exposição, mas não elimina o risco geral.

Mesmo com a derrubada, o tema segue relevante porque o modelo de proxy residencial é atraente para criminosos. Assim, a lição central é que infraestrutura “invisível” pode existir em apps comuns quando SDKs entram no caminho.

Assim como IPIDEA, os celulares Android guardam diversas configurações ocultas, mas algumas podem auxiliar a vida do usuário.

Tags
Agência Gazeta Tecnologia