Google ferme un réseau proxy malveillant sur des millions d'Android

Google a annoncé avoir démantelé un important réseau fantôme qui opérait secrètement sur des millions d'appareils Android dans le monde. Avec l'aide d'une ordonnance d'un tribunal fédéral américain, l'entreprise a réussi à fermer l'infrastructure de la firme chinoise Ipidea, décrite comme le plus grand réseau de proxy au monde. Ces réseaux permettent à des acteurs malveillants de router leur trafic internet via les smartphones et objets connectés d'autrui, donnant l'impression qu'ils accèdent au web depuis l'appareil de la victime plutôt que du leur.

En clair, les utilisateurs ignoraient totalement que leur téléphone pouvait devenir un point d'accès loué. Le Wall Street Journal a comparé ce système à un Airbnb pour connexions internet, avec cette différence majeure que les individus n'avaient pas consenti à participer au service. Les appareils étaient enrôlés dans le réseau via des applications gratuites, des jeux ou des programmes que les développeurs avaient équipés de modules logiciels spécialisés.

Google précise qu'après intégration du SDK d'Ipidea, un appareil se transformait en ce qu'on appelle un nœud de sortie, permettant à des requêtes externes de transiter. Cela ouvrait la porte à l'utilisation de l'adresse IP du propriétaire du smartphone pour dissimuler des fraudes, des activités illégales ou des cyberattaques. Play Protect a déjà commencé à avertir automatiquement les utilisateurs, à supprimer de telles applications et à bloquer les réinstallations. Le problème était cependant vaste, car Ipidea rémunérait les développeurs pour chaque téléchargement.

Une inquiétude particulière est née d'un incident survenu l'an dernier, lorsque des pirates ont découvert une vulnérabilité dans des millions d'appareils liés à ce réseau et ont réussi à détourner au moins deux millions de systèmes. Ils les ont transformés en un immense botnet nommé Kimwolf, utilisé pour des attaques DDoS puissantes qui ont mis des sites web hors ligne. Les chercheurs l'ont qualifié de l'un des botnets les plus puissants jamais enregistrés.

Selon les estimations du WSJ, la fermeture de l'infrastructure d'Ipidea a touché environ neuf millions d'appareils Android, et Google a en outre retiré des centaines d'applications associées à ce schéma. Les représentants d'Ipidea affirment que leur service était destiné à des activités commerciales légitimes, bien que l'entreprise se soit auparavant même promue sur des forums de hackers. Les experts estiment toutefois que les risques pour les utilisateurs et même la sécurité nationale étaient trop importants.

Google rappelle aux utilisateurs de faire preuve de prudence lors de l'installation d'applications gratuites provenant de sources douteuses, d'examiner attentivement les autorisations et de supprimer les programmes qu'ils n'utilisent plus pour réduire la probabilité d'infections cachées.