Android TV 機上盒成殭屍網路節點！Google 揭露 IPIDEA 透過預裝 APP 控制數百萬裝置

Google 近日宣布成功瓦解全球規模最大的住宅代理網路之一 IPIDEA，該網路透過預裝在非品牌 Android TV 機上盒中的惡意應用程式，在使用者毫不知情的情況下，將數百萬台家用裝置變成殭屍網路節點。這些被劫持的裝置不僅被迫轉發惡意流量，更成為威脅組織發動分散式阻斷服務(DDoS)攻擊的工具。

消費裝置成為攻擊跳板

根據 Google 威脅情報小組(GTIG)調查，IPIDEA 擁有超過 610 萬個每日更新的 IP 位址，目前約有 500 萬台不同的殭屍電腦仍在連接其命令與控制伺服器(C2)。GTIG 首席分析師 John Hultquist 指出，住宅代理網路已成為各種威脅的工具，從高階間諜活動到大規模犯罪計畫都有使用。攻擊者將流量路由通過民眾的家用網路連線，在滲透企業環境時得以隱藏蹤跡。

根據 Google 調查，截至今年 1 月已有超過 550 個威脅組織利用 IPIDEA 的代理基礎設施進行攻擊。這些組織遍布中國、北韓、伊朗和俄羅斯等地，攻擊動機涵蓋網路犯罪、間諜活動、進階持續性威脅(APT)及資訊作戰。Hultquist 進一步指出，住宅代理服務經常出現在俄羅斯和中國的網路間諜活動中，包括 APT28、Sandworm 及 Volt Typhoon 等知名組織都曾使用這類服務隱藏攻擊來源。

物聯網裝置成為犯罪工具

資安公司 Synthient 本月初揭露，AISURU/Kimwolf 殭屍網路背後的威脅行為者利用 IPIDEA 等代理服務的安全漏洞，將惡意指令轉發至防火牆後的物聯網裝置，藉此傳播惡意程式。這些惡意程式會將消費裝置變成代理端點，偷偷捆綁在非品牌 Android TV 串流機上盒預裝的應用程式和遊戲中。

更令人憂心的是，IPIDEA 也曾發布獨立應用程式，直接向尋求「輕鬆賺錢」的民眾行銷，宣稱只要安裝應用程式並允許使用「閒置頻寬」就能獲得報酬。然而，使用者在下載這些應用程式後，其裝置便會被納入代理網路，在背景持續轉發未知來源的流量，甚至參與 DDoS 攻擊行動。
13 個代理品牌與 SDK 供應鏈攻擊

IPIDEA 的代理網路是由 13 個知名住宅代理品牌組成，包括 360 Proxy、922 Proxy、ABC Proxy、Cherry Proxy、Luna Proxy、PIA S5 Proxy 等服務。此外，控制這些品牌的行為者也掌控數個住宅代理軟體開發套件(SDK)相關網域，包括 Castar SDK、Earn SDK、Hex SDK 和 Packet SDK。

這些 SDK 並非獨立應用程式，而是嵌入現有應用程式中，向第三方開發者推銷成將 Android、Windows、iOS 和 WebOS 應用程式貨幣化的方式。整合 SDK 的開發者會按下載次數獲得 IPIDEA 報酬，而安裝這些應用程式的裝置則會被轉變為 IP 代理網路節點。

Google 分析發現，這些 SDK 採用雙層命令與控制系統架構。受感染裝置會先聯繫第一層伺服器取得第二層節點資訊，再與第二層伺服器通訊，定期輪詢要透過裝置代理的有效載荷。目前約有 7,400 個第二層伺服器持續運作。

GTIG 識別出 3,075 個獨特的 Windows 二進位檔案曾向至少一個第一層網域發送請求，其中部分偽裝成 OneDriveSync 和 Windows Update。此外，來自多個下載來源的 600 個 Android 應用程式也被標記為含有連接至第一層 C2 網域的程式碼。

Google Play Protect 自動移除威脅

為對抗此威脅，Google 已更新 Google Play Protect，系統會自動警告使用者含有 IPIDEA 程式碼的應用程式。在經認證的 Android 裝置上，系統會自動移除這些惡意應用程式並封鎖未來的安裝嘗試。所有經 Play Protect 認證的 Android 裝置都經過廣泛測試，以確保品質和使用者安全。
協助 GTIG 驗證 IPIDEA 基礎設施和規模的 Lumen Technologies 表示，Google 的行動有效減緩犯罪分子利用這些服務進行惡意活動的能力。該公司 Black Lotus Labs 資安工程師指出，網路服務供應商可透過封鎖支援惡意程式驅動的住宅代理服務基礎設施流量來做出貢獻。

目前，IPIDEA 的官網已無法存取，與前幾週相比，代理總數已減少 40%，預計將有更多代理陸續失去連線。然而，專家強調需要持續協調努力才能徹底消除這些威脅。