29/01
Des millions de smartphones détournés illégalement, Google vient de faire tomber un réseau malveillant
Le géant américain a annoncé le démantèlement d’un réseau clandestin de serveurs proxy qui exploitait à leur insu la connexion de millions d’utilisateurs Android pour dissimuler des activités cybercriminelles.
Google a mis fin à ce qui est présenté comme le plus vaste réseau clandestin de serveurs proxy résidentiels jamais identifié. Cette infrastructure détournait à l’insu de leurs propriétaires la connexion Internet de millions d’utilisateurs à travers le monde afin de masquer des activités cybercriminelles.
Des smartphones transformés en relais pour activités illégales
Le groupe américain a annoncé avoir démantelé un réseau opéré par la société chinoise Ipidea, qui exploitait des millions d’appareils Android, mais aussi des ordinateurs et des objets connectés. Ces équipements étaient utilisés comme des points d’accès Internet intermédiaires, loués à des tiers. En faisant transiter leur trafic par des connexions domestiques, les cybercriminels pouvaient se dissimuler derrière l’adresse IP de particuliers, rendant leurs actions extrêmement difficiles à tracer.
L’intégration des appareils au réseau reposait sur une technique de type « cheval de Troie », quasiment invisible pour l’utilisateur. De nombreuses victimes ont été enrôlées après avoir téléchargé des applications gratuites, des jeux ou des logiciels intégrant un kit de développement dissimulé. Une fois installé, ce code transformait automatiquement le smartphone ou l’ordinateur en « nœud de sortie », permettant à des clients d’Ipidea de faire transiter leur propre connexion Internet via l’appareil de la victime.
Le modèle économique reposait sur la rémunération de développeurs d’applications en fonction du nombre de téléchargements, les incitant à intégrer ce code en échange de revenus. Pour l’utilisateur, l’application continuait de fonctionner normalement, tandis qu’en arrière-plan, son appareil servait de relais à des usages potentiellement illégaux. Google indique que Play Protect bloque désormais ce type d’installations, même si la diffusion de ces kits dans l’écosystème des applications gratuites reste un problème persistant, en particulier hors des plateformes officielles.
Un réseau détourné à des fins d’attaques massives
Au-delà de l’anonymisation du trafic, cette infrastructure est devenue un véritable outil offensif en 2024. Des pirates ont exploité une faille du système d’Ipidea pour prendre le contrôle d’environ deux millions d’appareils, constituant un botnet baptisé « Kimwolf ». Celui-ci a servi à lancer des attaques par déni de service distribué d’une ampleur inédite, capables de rendre inaccessibles de nombreux sites web. Cet épisode a mis en lumière un risque dépassant largement la question de la vie privée pour toucher à la sécurité globale d’Internet.
L’action de Google, menée avec l’appui de la justice américaine, a conduit à la mise hors ligne de dizaines de sites et d’infrastructures techniques liés à Ipidea. Le groupe estime qu’environ neuf millions d’appareils Android ont ainsi été déconnectés de ce réseau frauduleux. Des centaines d’applications associées ont également été supprimées du Play Store. Malgré les affirmations d’Ipidea, qui revendiquait une activité commerciale légitime, les éléments recueillis sur des forums spécialisés ont convaincu les autorités de la nécessité d’une intervention ferme.
Un appel à la vigilance des utilisateurs
Si cette opération marque un succès important dans la lutte contre la cybercriminalité, les experts appellent les utilisateurs à rester prudents. Google recommande de vérifier régulièrement les autorisations accordées aux applications installées et de supprimer celles qui ne sont plus utilisées ou dont l’origine est incertaine.
Le risque demeure particulièrement élevé avec les logiciels provenant de sources non vérifiées, qui échappent parfois aux contrôles de sécurité initiaux. Play Protect continue de surveiller les appareils afin de détecter toute tentative de réactivation de code lié à Ipidea. En attendant, la prudence reste de mise lors du téléchargement d’applications en dehors des circuits officiels.
Source : Android Authority