Português 
Inglês 
Espanhol 
6 min de leitura 
0 comentários 
Um desmonte anunciado pelo Google expôs como apps comuns podem incorporar bibliotecas que transformam celulares Android em pontos de saída de tráfego, com impacto global e foco em proxy residencial, segurança móvel e uso de dados.
O Google anunciou ter derrubado parte da infraestrutura de uma rede de proxy residencial ligada à empresa chinesa IPIDEA e afirmou que a operação reduziu de forma significativa a disponibilidade de dispositivos usados como “pontes” para tráfego de terceiros.
Segundo a companhia, a ação combinou medidas técnicas e pedidos judiciais para retirar do ar domínios e serviços associados ao controle da rede e, ao mesmo tempo, reforçar proteções no ecossistema Android.
Em comunicado técnico, a empresa disse que o funcionamento do esquema não dependia de uma infecção clássica, como as associadas a vírus que travam o telefone ou exibem anúncios.
-
Cientistas podem ter encontrado uma pista absurda sobre como a vida começou na Terra: nanopartículas minerais teriam usado luz, calor e eletricidade para transformar matéria sem vida nos primeiros blocos biológicos
-
IA pode estar perto de encontrar novas leis da física, mas cientistas descobriram um erro assustador: a tecnologia reduz simulações caras em mais de 10 vezes e, mesmo assim, pode deixar passar pistas inéditas escondidas no universo
-
A China colocou robôs em forma de serpente para deslizar pelas linhas de energia, onde já inspecionaram mais de 130 quilômetros de cabos usando câmeras e sensores para flagrar fios danificados, peças desgastadas e superaquecimento
-
Estudantes criam barco de Lego para recolher plástico das praias, apostam em energia limpa e buscam combater a poluição marinha
Em vez disso, a rede se disseminava por bibliotecas incorporadas a aplicativos, muitas vezes instalados como jogos simples e ferramentas de utilidade.
Com isso, o aparelho poderia atuar como ponto de saída, permitindo que conexões residenciais fossem usadas por outras pessoas sem que o dono percebesse.
Rede de proxy residencial e o papel dos SDKs em aplicativos
De acordo com o Google, a rede se apoiava em kits de desenvolvimento de software, os chamados SDKs, oferecidos para integração em aplicativos.
Quando esse tipo de biblioteca era incluído em um app, o dispositivo passava a se comunicar com uma infraestrutura de proxy e podia compartilhar parte da conexão do usuário com clientes do serviço, conforme a descrição feita pelos pesquisadores.
Na prática, isso cria uma camada de intermediação: o tráfego de terceiros sai para a internet usando o endereço IP residencial do dono do telefone.
O resultado, segundo analistas de segurança que estudam redes de proxy residencial, é que a origem real de determinadas requisições pode ficar menos evidente para sistemas que tentam rastrear quem iniciou uma ação online.
O Google também afirmou que esse tipo de estrutura tende a dificultar investigações, justamente por misturar tráfego de consumidores com solicitações originadas fora da rede doméstica.
Ainda segundo a empresa, o uso de endereços residenciais pode interessar a diferentes perfis de clientes, inclusive para finalidades não necessariamente ilícitas, como testes de desempenho e verificação de conteúdo por região.
O ponto central, no entanto, é a falta de transparência quando o usuário não tem clareza de que sua conexão está sendo compartilhada nem de como isso ocorre.
Tráfego em segundo plano e por que a detecção é difícil
Uma das razões apontadas pelo Google para a detecção tardia é que o comportamento não se encaixava no padrão mais comum de malware.
Em vez de explorar falhas evidentes ou exigir permissões chamativas, o funcionamento podia permanecer em segundo plano, como parte do processo do aplicativo.
Em muitos casos, o usuário não via sinais diretos na tela que indicassem que o aparelho estava sendo usado como retransmissor.
O alerta, segundo os pesquisadores, apareceu em análises de tráfego em escala.
A equipe afirmou ter notado padrões incomuns relacionados a volumes e rotas de dados que saíam de endereços IP residenciais.
A partir desse mapeamento, o Google disse ter identificado domínios, marcas e bibliotecas associados ao ecossistema da IPIDEA e, com isso, reuniu subsídios para bloquear a operação e compartilhar indicadores com parceiros.
Outro ponto destacado foi o caráter distribuído do sistema.
Como os “nós” estavam espalhados em aparelhos ao redor do mundo, o tráfego não dependia de um pequeno conjunto de servidores.
Essa característica, segundo especialistas em cibersegurança, torna redes desse tipo mais resilientes e pode exigir ações coordenadas para reduzir o alcance.
Mais de 600 apps e a escala em milhões de dispositivos Android
Na divulgação sobre o desmonte, o Google informou ter identificado mais de 600 aplicativos Android associados a bibliotecas ligadas à IPIDEA.
A empresa também relatou ter encontrado componentes e arquivos relacionados ao mesmo ecossistema em ambiente Windows, conectados à infraestrutura usada para coordenar a rede.
De acordo com a estimativa apresentada pela companhia, a ação afetou uma base de mais de 9 milhões de dispositivos Android que poderiam ser utilizados como pontos de saída.
O Google não afirmou que todos esses aparelhos estavam ativos ao mesmo tempo, mas sustentou que o volume total associado ao ecossistema era suficiente para caracterizar uma operação em larga escala.
Play Protect, lojas alternativas e o risco de instalação por APK
Além de medidas legais contra a infraestrutura, o Google disse ter ampliado proteções do Play Protect, ferramenta de segurança que verifica aplicativos e bibliotecas no Android.
Segundo a empresa, o sistema passou a identificar e bloquear componentes associados ao ecossistema descrito, além de impedir novas instalações conhecidas dessas bibliotecas em aparelhos compatíveis.
Mesmo assim, a companhia ressaltou que o cenário muda quando o usuário instala aplicativos fora dos canais oficiais.
Ao recorrer a lojas alternativas ou a arquivos APK obtidos por terceiros, a pessoa pode ficar sem parte das camadas de verificação e alerta, o que tende a aumentar a exposição a bibliotecas que não passaram pelo mesmo nível de checagem.
Pesquisadores de segurança costumam recomendar, nesses casos, atenção redobrada à origem do app e ao comportamento do aparelho após a instalação, como consumo anormal de dados e atividade em segundo plano.
No entanto, o próprio Google reconheceu que, em redes desse tipo, sinais podem ser sutis.
Por isso, a empresa afirmou que o reforço de bloqueios no ecossistema tem como objetivo reduzir o alcance de bibliotecas conhecidas e limitar a reutilização da infraestrutura.
Botnets, abuso de infraestrutura e impactos para o usuário
O Google também relacionou redes de proxy residencial ao apoio logístico para operações maliciosas, ao mencionar botnets e usos associados a abuso de infraestrutura.
No texto técnico, a empresa citou botnets como Aisuru e Kimwolf como exemplos ligados ao ecossistema analisado, ao descrever como bibliotecas e serviços podem ser reaproveitados para finalidades ilícitas quando há controle por terceiros.
Especialistas em segurança apontam que, quando o aparelho vira saída de tráfego, o endereço IP do usuário pode aparecer como origem de solicitações que não foram feitas por ele.
Isso pode levar a bloqueios em sites e serviços ou a alertas em sistemas antifraude, dependendo do tipo de atividade que atravessou a conexão.
Ainda segundo análises do setor, há também riscos de ampliação da superfície de ataque na rede doméstica quando o dispositivo passa a encaminhar tráfego não solicitado.
Aplicativos gratuitos, transparência e a “zona cinzenta” da segurança móvel
O episódio reforça um debate recorrente sobre transparência em aplicativos gratuitos que dependem de monetização via terceiros.
Em ambientes móveis, bibliotecas externas podem executar funções variadas, de métricas a publicidade e serviços de rede.
O problema, segundo pesquisadores, aparece quando o usuário não é informado de forma clara sobre o que está sendo coletado, compartilhado ou roteado, e quais são as consequências práticas disso.
Também por esse motivo, especialistas costumam alertar que baixar aplicativos fora de fontes oficiais aumenta a chance de instalar versões modificadas ou componentes adicionais que não aparecem com clareza para o usuário.
Em um cenário em que SDKs podem operar em segundo plano, a dificuldade de distinguir um app legítimo de um app com bibliotecas de rede embutidas tende a crescer.
-
1 pessoa reagiu a isso.