Dans une opération d'envergure, la firme de Mountain View a porté un coup fatal à Ipidea, une entreprise chinoise spécialisée dans les services de proxy résidentiels. Accusée d'avoir bâti un empire en infectant secrètement des millions d'appareils, cette société permettait à des cybercriminels de masquer leurs activités illicites. L'offensive a permis de saisir des dizaines de noms de domaine et de protéger des millions d'utilisateurs à travers le globe.
Comment un tel réseau parvenait-il à infecter autant d'appareils ?
Le mode opératoire d'Ipidea était particulièrement insidieux. Le réseau se propageait via des logiciels malveillants dissimulés dans des applications et des jeux en apparence légitimes que les utilisateurs installaient volontairement. Une fois le programme lancé, un module proxy s'activait en arrière-plan, enrôlant l'appareil dans le réseau.
Les victimes intégraient ces réseaux sans le savoir, en installant des programmes qui embarquaient secrètement le module. L'appareil devenait alors un nœud de sortie pour le réseau, louant sa connexion internet à des tiers sur des millions de smartphones Android, PC ou téléviseurs connectés, le tout à l'insu complet de leurs propriétaires.
Quelles étaient les conséquences de ce réseau pour la cybersécurité mondiale ?
Les implications de ce réseau étaient massives. Il servait de socle à de nombreuses activités criminelles, notamment pour brouiller les pistes lors de cyberattaques. Selon les enquêteurs, Ipidea est indirectement responsable de l'émergence du puissant botnet Kimwolf, qui a exploité une faille dans le réseau pour pirater deux millions d'appareils et lancer des attaques massives.
Le réseau a également été utilisé par des groupes de pirates liés à des États comme la Chine, la Corée du Nord ou la Russie pour mener des campagnes d'espionnage et de désinformation. En faisant transiter leur trafic par des connexions domestiques, les attaquants pouvaient se dissimuler et infiltrer plus facilement des environnements d'entreprise sécurisés.
Quelle a été la riposte de Google pour démanteler cette infrastructure ?
Pour mettre un terme à ces agissements, Google a combiné actions juridiques et techniques. La firme a obtenu une injonction fédérale pour faire supprimer des dizaines de noms de domaine liés à Ipidea, mettant hors service ses sites publics et son infrastructure de commande et de contrôle. Cette action a dégradé de manière significative les capacités du réseau.
Parallèlement, le système Play Protect d'Android a été mis à jour pour détecter et supprimer automatiquement les applications contenant les modules espions d'Ipidea. Cette double approche a permis de libérer environ 9 millions d'appareils et de porter un coup sévère aux opérations de la société chinoise, qui de son côté dément toute activité criminelle et affirme ne fournir ses services qu'à des fins légitimes.