Ένα από τα μεγαλύτερα και πιο επικίνδυνα «αόρατα» δίκτυα του διαδικτύου, το οποίο παρασιτούσε εις βάρος εκατομμυρίων ανυποψίαστων χρηστών Android, δέχθηκε μόλις ένα συντριπτικό πλήγμα. Η Google, μέσω της ομάδας Threat Intelligence Group (GTIG), ανακοίνωσε την εξάρθρωση του IPIDEA, ενός γιγαντιαίου δικτύου οικιακών proxies (residential proxies) που χρησιμοποιούσε τις συσκευές απλών πολιτών για να καλύπτει τα ίχνη κυβερνοεγκληματιών.
Η υπόθεση αποκαλύπτει μια ανησυχητική πραγματικότητα για το οικοσύστημα των εφαρμογών: οι χρήστες που κατέβαζαν φαινομενικά αθώα εργαλεία, όπως δωρεάν VPNs, μετέτρεπαν άθελά τους τα κινητά τους σε κόμβους διακίνησης δεδομένων για λογαριασμό τρίτων.
Η παγίδα του «Δωρεάν»: Πώς μολύνθηκαν 9 εκατομμύρια συσκευές
Η μεθοδολογία του IPIDEA ήταν εξαιρετικά πονηρή και στηριζόταν στην εκμετάλλευση της επιθυμίας των χρηστών για δωρεάν υπηρεσίες. Οι διαχειριστές του δικτύου δεν χακάριζαν τις συσκευές με τον παραδοσιακό τρόπο. Αντιθέτως, «φύτευαν» ειδικά πακέτα λογισμικού (SDKs) μέσα σε νόμιμες εφαρμογές που ανέβαιναν στο Google Play Store.
Εφαρμογές όπως το Galleon VPN, το Radish VPN και το Aman VPN, καθώς και δεκάδες άλλες, λειτουργούσαν ως «Δούρειοι Ίπποι». Οι προγραμματιστές αυτών των εφαρμογών, δελεασμένοι από την υπόσχεση εύκολου κέρδους, ενσωμάτωναν SDKs με ονόματα όπως PacketSDK, EarnSDK και CastarSDK. Αυτά τα εργαλεία υπόσχονταν έσοδα στους developers με αντάλλαγμα τη χρήση ενός μικρού μέρους του bandwidth (εύρος ζώνης) του χρήστη.
Στην πράξη, όμως, μόλις ο χρήστης εγκαθιστούσε την εφαρμογή, το κινητό του γινόταν εν αγνοία του μέρος ενός παγκόσμιου botnet. Το IPIDEA πουλούσε στη συνέχεια την πρόσβαση σε αυτές τις συσκευές σε τρίτους πελάτες, επιτρέποντάς τους να δρομολογούν την κίνηση του διαδικτύου τους μέσα από το τηλέφωνο του θύματος.
Για να κατανοήσουμε τη σοβαρότητα της κατάστασης, πρέπει να αντιληφθούμε τι ακριβώς πουλούσε το IPIDEA. Στον κόσμο της κυβερνοασφάλειας, ένας «οικιακός proxy» είναι πολύτιμος επειδή η κίνηση που προέρχεται από αυτόν φαίνεται απολύτως φυσιολογική.
Όταν ένας χάκερ επιτίθεται σε μια τράπεζα ή προσπαθεί να υποκλέψει κωδικούς χρησιμοποιώντας έναν server σε κάποιο data center, τα συστήματα ασφαλείας τον εντοπίζουν εύκολα και τον μπλοκάρουν. Όταν όμως η επίθεση φαίνεται να προέρχεται από το κινητό ενός νοικοκυριού στην Αθήνα ή στο Λονδίνο, τα φίλτρα ασφαλείας ξεγελιούνται.
Σύμφωνα με την έκθεση της Google, το δίκτυο του IPIDEA χρησιμοποιήθηκε από κρατικές ομάδες χάκερ (συνδεδεμένες με τη Ρωσία, την Κίνα, το Ιράν και τη Βόρεια Κορέα) για κατασκοπεία, αλλά και από κοινούς απατεώνες για απάτες με διαφημίσεις και μαζική αποστολή spam. Το κινητό του χρήστη γινόταν ουσιαστικά η «μάσκα» που φορούσε ο εγκληματίας.
Η απάντηση της Google ήταν πολυμέτωπη. Τεχνικά, η εταιρεία ενεργοποίησε το Google Play Protect, το ενσωματωμένο σύστημα άμυνας του Android, ώστε να αναγνωρίζει και να μπλοκάρει αυτόματα τις εφαρμογές που περιέχουν τα κακόβουλα SDKs του IPIDEA. Εάν έχετε κάποια από αυτές τις εφαρμογές στο κινητό σας, το σύστημα θα σας ειδοποιήσει να την απεγκαταστήσετε ή θα το κάνει αυτόματα για λόγους ασφαλείας.
Παράλληλα, σε νομικό επίπεδο, η Google κινήθηκε δικαστικά για να κατασχέσει τα domains που χρησιμοποιούσε το IPIDEA για να ελέγχει το δίκτυο (Command and Control servers). Με τη συνεργασία άλλων εταιρειών ασφαλείας και παρόχων διαδικτύου, κατάφεραν να «τυφλώσουν» το κέντρο ελέγχου του δικτύου, αποκόπτοντας την επικοινωνία με τα μολυσμένα κινητά.
Οι αναλυτές εκτιμούν ότι η κίνηση αυτή αφαίρεσε περίπου 9 εκατομμύρια συσκευές από τη δεξαμενή του IPIDEA, επιφέροντας καίριο πλήγμα στη λειτουργία του.
Πέρα από το ηθικό και νομικό ζήτημα της συμμετοχής σε κυβερνοεγκλήματα, η παρουσία τέτοιου λογισμικού στο κινητό έχει άμεσες πρακτικές συνέπειες:
Εξάντληση Μπαταρίας: Η συνεχής αποστολή και λήψη δεδομένων στο παρασκήνιο καταπονεί τη συσκευή.Απώλεια Δεδομένων (Data): Αν δεν είστε σε Wi-Fi, το λογισμικό καταναλώνει τα δεδομένα του προγράμματός σας.Μείωση Ταχύτητας: Η σύνδεσή σας γίνεται πιο αργή, καθώς τη μοιράζεστε με αγνώστους.
Η υπόθεση του IPIDEA υπενθυμίζει ότι στο διαδίκτυο δεν υπάρχει τίποτα πραγματικά δωρεάν. Εάν μια εφαρμογή VPN ή φακού ζητάει παράλογες άδειες ή υπόσχεται δωρεάν υπηρεσίες που άλλοι χρεώνουν, είναι πολύ πιθανό το «προϊόν» να είστε εσείς.
Οι ειδικοί συνιστούν:
Ελέγξτε το Play Protect: Βεβαιωθείτε ότι είναι ενεργοποιημένο στις ρυθμίσεις του Play Store.Καθαρίστε το κινητό: Διαγράψτε εφαρμογές που δεν χρησιμοποιείτε, ειδικά δωρεάν VPNs αγνώστου προελεύσεως.Προσοχή στις άδειες: Μην δίνετε άδειες πρόσβασης στο δίκτυο ή στο παρασκήνιο σε εφαρμογές που δεν τις χρειάζονται πραγματικά.