Gyanútlan felhasználók millióinak készülékei váltak a kiberbűnözés eszközeivé az internet egyik legaggasztóbb infrastruktúrájában. A Google-nek azonban sikerült felszámolnia a láthatatlan, de annál veszélyesebb hálózatot.
Nem is volt szükség hackelésre: okostelefonok, számítógépek és más csatlakoztatott eszközök millióit alakította át titkos proxy hadsereggé a kíni eredetű, IPIDEA néven ismert „lakossági proxy hálózat”, hogy azután az eszközöket rosszindulatú szereplők használhassák különféle támadások kiterjesztésére és elrejtésére.
A támadók a semmit sem sejtők internetkapcsolatát vetették be alantas céljaikra, úgy, mintha az ártatlan felhasználók IP-címéről jönnének. Ehhez az említett eszközökre telepített alkalmazásokat veszik igénybe, így megbízható lakossági IP-címeken keresztül rejthetik el a tevékenységüket. Az IPIDEA márkákat földalatti fórumokon népszerűsítették, és olyan bűnöző vásárlókat céloztak meg, akik nehezebben nyomon követhető infrastruktúrát akartak a támadásokhoz. Az IPIDEA proxy és VPN szolgáltatásokon keresztül értékesítette a csatlakoztatott eszközökhöz való hozzáférést harmadik feleknek.
De hogyan történhet meg mindez? Hogyan válik egy androidos telefon érintetté? Mint kiderült, számos, ártalmatlannak tűnő androidos alkalmazás harmadik féltől származó szoftverfejlesztő készleteket (SDK-kat) tartalmazott, és a háttérben futva ezek használták ki csendben a felhasználói eszközöket, az azokon lévő internetet.
A Google belső biztonsági csapata, a Threat Intelligence Group (GTIG) szerint az IPIDEA-t számos kémkedéssel, bűnözéssel és információs műveletekkel foglalkozó szereplő használja. Januárjában például mindössze hét nap alatt több mint 550 egyedi fenyegető csoportot figyelt meg a GTIG. Ezek között voltak képzett kiberbűnözők és fejlett perzisztens fenyegetések (APT) szereplői, akik Kínához, Oroszországhoz, Iránhoz és Észak-Koreához kapcsolódtak. A proxyk olyan tevékenységeket támogattak, mint a hitelesítő adatok begyűjtése, kémkedés, DDoS-támadások és parancsnoki és irányítási műveletek elrejtése.
A Google viszont nem hagyhatta mindezt szó, sőt tettek nélkül, és – ahogy arról az Android Central is beszámolt – sikerült igen nagy értékben megbénítania az IPIDEA-t. Mindenekelőtt jogi és technikai lépéseket tett több tucat, az IPIDEA-hoz kapcsolódó domén letiltására. Frissítették a Google Play Protectet is, hogy megtalálják és eltávolítsák az érintett Android-alkalmazásokat, illetve a szolgáltatás mostantól automatikusan figyelmezteti a felhasználókat az IPIDEA-kódot tartalmazó alkalmazásokra. Szigorították az SDK-kra vonatkozó Play Store irányelveket, hogy ne fordulhassanak elő hasonló visszaélések. A Google azt is közölte, hogy a hitelesített Android-eszközök esetében a rendszer eltávolítja a rosszindulatú alkalmazásokat, és blokkolja a jövőbeni telepítési kísérleteket. A keresőóriás információkat osztott meg olyan nagy partnerekkel, mint például a Cloudflare, hogy segítsenek a háttérrendszerek működésének megzavarásában.
Mindennek kapcsán a Google egyértelmű eredményekről számolhatott be: a visszaélésekre alkalmas, feltört eszközök száma milliókkal csökkent, mostantól nem használhatók a proxy részeként. Ugyan a hálózatnak nem tűnt el minden része, de mostantól sokkal nehezebb lesz az üzemeltetők számára a jövőbeli visszaélések kiterjesztése.
Bár a Google tartózkodott az érintett alkalmazások megnevezésétől, megerősítette, hogy néhány népszerű segédprogram és háttéralkalmazás beépítette a kártékony SDK-kat. Ezek közé tartoztak VPN-ek, adatmentő eszközök és olyan általános segédprogramok, amelyeket a felhasználók gyakran letöltenek a telefon teljesítményének javítása érdekében. Ezen appok közül sok engedélyt kért az adatok eléréséhez vagy a háttérben való futtatáshoz, amit a felhasználók gyakran jóvá is hagytak anélkül, hogy ismerték volna a valódi következményeket.
Hogy ne kerülhessenek ilyen helyzetbe, az androidos eszközök tulajdonosainak továbbra is azt javasolják, hogy csakis a Google Play áruházból töltsenek le appokat, és még azoknál is figyeljenek az engedélykérésekre. Emellett a Play Protect és más megbízható vírusirtók segíthetnek felismerni a szokatlan viselkedést. Annak is érdemes utánanézni, ha hirtelen megnő az adatforgalom anélkül, hogy valaki aktívan használná az internetet.
Tovább a cikkre: hvg.hu
