„Google“ tyrėjai nustatė kampaniją, kuri slapta įtraukia „Android“ įrenginius į didelį gyvenamųjų (namų) tarpinių serverių tinklą, vadinamą IPIDEA. Pažeisti telefonai — įskaitant kai kuriuos su iš anksto įdiegtomis programėlėmis arba trečiųjų šalių SDK — paleidžia nuolat veikiančius tuneliavimo agentus, kurie be naudotojų sutikimo nukreipia srautą per jų namų IP adresus. Ši technika užmaskuoja priskyrimą, sudaro sąlygas sukčiavimui ir didelio masto duomenų nuskaitymui, bei apsunkina švelninimo priemones; vykdomi atkūrimo darbai, tačiau vis dar lieka daug techninių ir politikos klausimų.
Ką rado „Google“: telefonai, įtraukti į IPIDEA
„Google“ analizė nustatė, kad šimtai „Android“ programėlių turėjo SDK, kuris įtraukdavo įrenginius į IPIDEA rezidentinių proxy tinklą, leisdamas telefonams nukreipti trečiųjų šalių srautą per jų namų IP adresus be aiškaus vartotojo informavimo.
Tyrėjai identifikavo SDK modulius, kurie įdiegdavo nuolatinius proxy agentus, nustatydavo tunelio galinius taškus ir pateikdavo įrenginio metaduomenis į centralizuotus valdiklius.
Telemetrija parodė šimtus tūkstančių iki milijonų unikalių IP, priskirtų tinklui, apimančių kelis regionus ir IPT.
Elgsenos pėdsakai rodė, kad foninis maršrutizavimas išlikdavo nepriklausomai nuo to, ar programėlė buvo naudojama pirmame plane.
Kodo parašai ir domenų šablonai susiejo skirtingas programėles su bendra operatoriaus infrastruktūra, o tai leidžia manyti apie koordinuotą platinimą ir monetizavimą, o ne pavienius kūrėjų veiksmus.
Kaip įrenginiai prisijungia prie rezidentinių tarpinio serverio tinklų (iš anksto įdiegta, mokami įdiegimai, SDK)
Tyrėjai nustatė tris pagrindinius platinimo vektorius, kurie įtraukia vartotojų įrenginius į gyvenamųjų proxy tinklus: programinę aparatinę įrangą (firmware) ir sistemos programėles, iš anksto įdiegtas įrenginių gamintojų ar operatorių; aiškiai naudotojo įdiegtą programinę įrangą, kai asmenys savanoriškai sutinka monetizuoti nenaudojamą pralaidumą; ir trečiųjų šalių SDK, įterptus į šiaip teisėtas programėles, kurie tyliai įdiegia nuolat veikiančius proxy agentus ir tuneliavimo galinius taškus.
Analizė rodo, kad iš anksto įdiegti komponentai gali atverti gamyklinius atvaizdus (factory images) arba OEM atnaujinimų kanalus, kurie įdiegia maršrutizavimo demonus.
Mokamų diegimų schemos naudoja diegiklius ir fonines paslaugas, dažnai susietas su partnerių (affiliate) išmokomis.
SDK pateikia kūrėjams nepermatomas bibliotekas, kurios sukuria VPN be root teisių (rootless) arba SOCKS/TLS tunelius, išlieka po perkrovimų ir bendrauja su centralizuotu komandų ir valdymo (C2) centru.
Kodėl gyvenamųjų (rezidentinių) tarpinių serverių tinklai, tokie kaip IPIDEA, yra pavojingi
Aukščiau aprašyti trys platinimo vektoriai tiesiogiai leidžia plačiai ir slapta įtraukti vartotojų įrenginius į tarpinio ryšio (proxy) tinklus, sukuriant grėsmės paviršių, kuris gerokai peržengia pavienių naudotojų ribas. Gyvenamųjų tinklų proxy tinklai (residential proxy networks), tokie kaip IPIDEA, paverčia nekenksmingą vartotojų IP erdvę anonimizuotais išėjimo mazgais, pakirsdami priskyrimą ir forensinių tyrimų laiko sekas.
Jie užtikrina geografinį tikslumą sukčiavimui, turinio manipuliavimui ir automatizuotam duomenų nuskaitymui (scraping), tuo pačiu paslėpdami operatoriaus kilmę už milijonų teisėtų galinių taškų. Kompromituoti įrenginiai gali būti priverstinai naudojami pralaidumo vagystei, piktnaudžiavimo srauto peradresavimui ir paskirstytų atakų organizavimui be savininko žinios. Namų IP adresų mastas ir teisėtumas apsunkina švelninimo priemones, juodųjų sąrašų taikymą ir teisinį priskyrimą gynėjams.
Kaip „Google“ ir partneriai trikdo IPIDEA
Kaip didelio masto rezidentinių tarpinių serverių (proxy) operacijos, tokios kaip IPIDEA, yra trikdomos koordinuotais techniniais, teisiniais ir rinkos veiksmais? „Google“ ir partneriai taiko daugialypį atsaką: techninius SDK platinimo sustabdymus, pažeidžiančių programėlių pašalinimą iš „Play Store“ ir SDK atspaudų (fingerprint) paskelbimą, kad būtų lengviau aptikti.
Teisinės komandos siekia domenų konfiskavimo ir teismo draudimų operatoriams. Interneto paslaugų teikėjai ir prieglobos paslaugų teikėjai raginami blokuoti komandų ir valdymo (C2) galinius taškus ir nukreipti srautą į „sinkhole“.
Rinkos intervencijos apima mokėjimo paslaugų teikėjų ir reklamos tinklų paskyrų, kurios monetizuoja schemą, sustabdymą. Kartu šie veiksmai didina veiklos kaštus, mažina mastelio didinimo galimybes ir blogina paslaugos patikimumą, ribodami IPIDEA gebėjimą pritraukti ir maršrutuoti rezidentinius galinius taškus.
Ką naudotojai, kūrėjai ir interneto paslaugų teikėjai turėtų daryti dabar
Susidūrus su neatidėliotina rizika, kad įprasti įrenginiai gali būti perimti ir panaudoti dideliuose gyvenamuosiuose tarpinio ryšio (proxy) tinkluose, suinteresuotosios šalys turėtų teikti pirmenybę aptikimo, suvaldymo ir šalinimo veiksmams, kurie mažina atakos paviršių ir atkuria pasitikėjimą galinių įrenginių vientisumu.
Vartotojai turėtų pašalinti įtartinas programėles, peržiūrėti leidimus, atstatyti tinklo nustatymus ir paleisti patikimą mobiliąją antivirusinę programą; jei patvirtinama, kad yra SDK, reikėtų teikti pirmenybę įrenginių gamyklinių nustatymų atkūrimui.
Kūrėjai privalo pašalinti trečiųjų šalių SDK, kuriuose įterptas tarpinio ryšio (proxy) kodas, atlikti tiekimo grandinės auditus ir paskelbti atskleidimo bei šalinimo veiksmus.
Interneto paslaugų teikėjai (ISP) turėtų stebėti anomalius išeinančio srauto modelius, riboti įtartiną namų tinklų išeinantį srautą, bendradarbiauti vykdant šalinimo veiksmus ir dalytis kompromitavimo indikatoriais su platformų savininkais, kad būtų užtikrintas koordinuotas sušvelninimas ir atribucija.
