Em uma ação coordenada, o Google Threat Intelligence Group (GTIG) anunciou em 28 de janeiro de 2026 que conseguiu interromper o funcionamento de uma das maiores redes de proxy residencial do mundo, conhecida como IPIDEA, comprometendo severamente sua infraestrutura e reduzindo em milhões o número de dispositivos explorados.
O que é uma rede de proxy residencial?
Uma rede de proxies residenciais é uma infraestrutura que usa endereços IP de conexões domésticas reais — de usuários comuns, casas ou pequenas empresas — para rotear tráfego de internet de terceiros. Isso dá à atividade maliciosa a aparência de tráfego legítimo, dificultando a detecção por ferramentas de segurança e permitindo que agentes maliciosos contornem bloqueios, restrições geográficas e defesas de segurança em redes corporativas.
Como o IPIDEA funcionava de fato?
📌 1. Distribuição por meio de software enganoso
Para construir essa enorme rede de proxies, os operadores do IPIDEA se aproveitaram de kits de desenvolvimento de software (SDKs) que eram distribuídos a desenvolvedores com promessas de monetização de aplicativos — ou seja, ganhar dinheiro por usuário que baixasse seus apps.
👉 No entanto, o que esses SDKs faziam na prática era inserir código que transformava os dispositivos dos usuários em “nós de saída” da rede de proxy, sem consentimento claro. Isso incluía apps para Android, Windows, Android TV e até dispositivos de TV box baratos, alguns já com o malware pré-instalado.
📌 2. Dois níveis de controle (“command-and-control”)
A estrutura técnica do IPIDEA tinha um sistema de duas camadas para controlar dispositivos recrutados:
- Um servidor principal para fornecer endereços de servidores secundários.
- Depois um servidor secundário que atribuía as tarefas de proxy para cada dispositivo, roteando tráfego malicioso através deles.
Esse modelo permitia que qualquer dispositivo infectado — mesmo dentro de uma rede doméstica — pudesse servir de intermediário para tráfego usado em ataques DDoS, roubo de credenciais, espionagem ou dissimulação de origem de tráfego.
Quem estava usando essa rede?
Segundo a análise do GTIG, em apenas uma semana de monitoramento em janeiro de 2026, mais de 550 grupos de ameaça diferentes utilizaram endereços IP associados ao IPIDEA para camuflar ataques ou atividades maliciosas — incluindo grupos ligados à China, Coreia do Norte, Irã e Rússia.
Essas atividades incluíam:
- Acesso não autorizado a serviços corporativos.
- Ataques de força bruta e “password spraying”.
- Espionagem industrial e roubo de credenciais.
Como o Google conseguiu desativar a rede?
O processo foi realizado em três frentes principais:
🔹 Sequestro de domínios usados como infraestrutura de controle
O GTIG tomou ações legais e usou ordens judiciais para assumir o controle dos domínios que eram utilizados para comandar as conexões proxy e distribuir tarefas aos dispositivos infectados.
🔹 Compartilhamento de inteligência técnica
O Google forneceu dados sobre os SDKs maliciosos e componentes usados na rede para forças da lei, plataformas de software e pesquisadores, ajudando a ampliar a capacidade de defesa além do próprio ecossistema do Google.
🔹 Proteção automática para usuários Android
Por meio do Google Play Protect — mecanismo de proteção embutido em dispositivos Android — apps que incorporavam código associado ao IPIDEA passaram a ser identificados automaticamente e removidos, e novas instalações desses apps foram bloqueadas.
Impacto da ação
Como resultado dessas medidas, o Google afirma que o pool de dispositivos disponíveis para os operadores do IPIDEA foi reduzido em milhões. Essa degradação não apenas afeta diretamente o IPIDEA, como também impacta serviços afiliados e revendedores da mesma infraestrutura de proxies, enfraquecendo uma cadeia inteira de abuso de dispositivos domésticos.
Por que isso é importante?
Este tipo de rede representa uma ameaça significativa à segurança digital global porque:
- Oculta identidades verdadeiras de agentes maliciosos na Internet.
- Permite ataques sofisticados a empresas e instituições públicas.
- Pode prejudicar usuários domésticos cujos dispositivos são involuntariamente usados como infraestrutura.
Além disso, o Google alerta que o mercado de proxies residenciais tem se expandido rapidamente, muitas vezes operando em uma zona cinzenta legal entre serviços legítimos e abusivos — e que é preciso vigilância constante para dissociar serviços éticos de redes criminosas.
