Злоумышленники любят создавать видимость того, что их трафик исходит из реальных домов и офисов, для чего используют сети резидентных прокси. Теперь Google заявляет, что «значительно подорвала» деятельность одной из крупнейших в мире сетей таких прокси.
Группа Google по анализу угроз (GTIG) описывает IPIDEA как «малоизвестный компонент цифровой экосистемы» и сообщает, что за семидневный период в январе 2026 года было зафиксировано более 550 групп злоумышленников, использующих выходные узлы IPIDEA.
GTIG утверждает, что операторы прокси-сетей иногда платят разработчикам приложений за встраивание SDK прокси, чтобы любое устройство, загрузившее приложение, автоматически подключалось к сети.
IPIDEA также известна распространением программного обеспечения и SDK прокси, которые подключают устройства к своей сети, иногда позиционируясь как способ для пользователей «монетизировать» неиспользуемую пропускную способность.
Специалисты Google отметили, что подобные сети не только позволяют злоумышленникам скрывать вредоносный трафик, но и подвергают риску пользователей, чьи устройства подключаются к сети: их устройства могут быть использованы как стартовые площадки для атак на другие устройства.
Исследователи сообщают, что в результате принятых мер доступный пул устройств IPIDEA сократился на миллионы, включая смартфоны, ПК с Windows и другое потребительское оборудование. Наиболее востребованными оказались резидентные IP-адреса из США, Канады и Европы.
Также было обнаружено, что операторы IPIDEA напрямую контролировали некоторые из SDK, обнаруженных в приложениях, подключающих устройства пользователей к сети.
Резидентные прокси не являются незаконными.
Операторы прокси часто продвигают их как инструменты для обеспечения конфиденциальности или свободы выражения мнений, хотя эксперты по безопасности утверждают, что они подавляющим большинством злоупотребляют киберпреступники.
IPIDEA не только приносила пользу киберпреступникам, ищущим анонимности, но в ряде случаев также подключала устройства, привлеченные в ее прокси-сеть, к крупным ботнетам, включая BadBox 2.0, Aisuru и Kimwolf.
GTIG сотрудничала с отраслевыми партнерами, включая Spur и Black Lotus Labs компании Lumen, для оценки масштабов сети IPIDEA, а также с Cloudflare для нарушения разрешения доменных имен IPIDEA.
Действия экспертов по безопасности не означают полного устранения сети: GTIG заявляет, что предпринятые меры сократили доступный пул устройств IPIDEA на миллионы и должны оказать последующее воздействие на аффилированных операторов и реселлеров.
«Сети резидентных прокси стали повсеместным инструментом для всего — от высокоуровневого шпионажа до масштабных криминальных схем, — заявил Джон Халквист, главный аналитик GTIG. — Маршрутизируя трафик через домашнее интернет-соединение человека, злоумышленники могут скрываться на виду, проникая в корпоративные среды.
«Устранив инфраструктуру, используемую для управления сетью IPIDEA, мы фактически выбили почву из-под ног глобального рынка, который продавал доступ к миллионам украденных потребительских устройств».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
