Il tuo telefono o il router può essere stato uno dei 17 milioni di dispositivi affittati di nascosto

Una botnet non sempre si tradisce rallentando il telefono o riempiendo lo schermo di finestre pop-up. La rete appena smantellata dalla polizia olandese non faceva quasi nulla che un proprietario comune potesse notare. Prendeva in prestito in silenzio una piccola parte di oltre 17 milioni di dispositivi, tra cui computer, smartphone, tablet, router domestici e gadget connessi, e affittava le loro connessioni a estranei. Se uno di quei dispositivi era il tuo, qualcuno che non incontrerai mai potrebbe aver navigato, raccolto dati o attaccato siti per mesi attraverso la tua linea di casa.

La Polizia nazionale dei Paesi Bassi e il Centro nazionale per la sicurezza informatica del Paese hanno chiuso l’operazione dopo aver sequestrato circa 200 server a un fornitore di hosting situato in territorio olandese. Gli investigatori descrivono la rete come un servizio di proxy residenziale, un sistema che instrada il traffico di alcuni attraverso i dispositivi reali di altri perché sembri una normale navigazione domestica. Quel travestimento è l’intero prodotto. Il traffico che pare provenire da un vero indirizzo domestico scivola oltre i filtri antifrode che bloccherebbero all’istante un noto server di data center, ed è esattamente per questo che i proxy residenziali sono preziosi per inserzionisti, raccoglitori di dati e criminali allo stesso modo.

La stampa olandese ha collegato l’infrastruttura ad ASOCKS, un’azienda con sede in Russia che vende commercialmente accesso a proxy residenziali e mobili. In superficie ASOCKS sembra un normale servizio in abbonamento. Il problema è da dove arrivano le sue connessioni residenziali. I ricercatori di sicurezza avvertono da anni che gran parte dei dispositivi che alimentano reti come questa non sono mai stati iscritti consapevolmente, e che i loro proprietari non avevano idea che la propria banda fosse in vendita.

I dispositivi sono stati reclutati in vari modi, e quasi tutti si riducono a una fiducia mal riposta nel software gratuito. Alcuni hanno installato un’app gratis, uno sfondo, un’utilità per il telefono o una VPN non ufficiale, che in sottofondo includeva un software proxy. Su Android, una libreria di codice chiamata PROXYLIB, nascosta dentro un kit di sviluppo che gli autori di app integravano nei loro prodotti, registrava i telefoni come nodi proxy senza chiedere. Altre macchine sono state infettate da malware che installava direttamente la stessa funzione. In ogni caso il dispositivo continuava a funzionare normalmente mentre la sua connessione lavorava per qualcun altro.

Una volta entrato nel gruppo, il collegamento di un dispositivo poteva servire per quasi tutto ciò che trae vantaggio dal sembrare un utente domestico innocuo. Le autorità olandesi affermano che la rete alimentava campagne di phishing, spam, attacchi denial-of-service che mettono fuori uso i servizi online, tentativi di accesso a forza bruta e credential stuffing, frode sui clic e schemi di SMS a sovrapprezzo che prosciugano denaro in silenzio. Un singolo router dirottato da solo produce ben poco. Diciassette milioni, messi insieme, diventano una vera infrastruttura.

Lo smantellamento è reale, ma non è una cura. La polizia ha sequestrato i server che coordinavano la rete, eppure il sito di ASOCKS restava raggiungibile dopo, e quanto del business sottostante sia stato davvero distrutto resta poco chiaro. Spegnere i server di comando non ripulisce automaticamente i 17 milioni di dispositivi, perché il codice proxy incluso e il malware possono restare intatti su un telefono o un router finché un nuovo operatore non li recupera. Inoltre, l’abuso di proxy residenziali è un mercato, non una singola azienda. Chiudi una rete e la domanda migra alla successiva, perché l’appetito legittimo per indirizzi reali, dalle società di verifica pubblicitaria alle aziende di IA che setacciano il web, mantiene il modello redditizio.

Per dare la misura, 17 milioni di dispositivi collocano questa tra le più grandi reti proxy mai disattivate, molto oltre molte delle botnet di malware che finiscono sui titoli per aver diffuso un singolo virus. A differenza di un’infezione ransomware, però, raramente c’è un sintomo evidente. Gli indizi tendono a essere banali: un router che si surriscalda o si riavvia senza motivo, una tariffa di casa che continua a sbattere contro il limite dati, un telefono il cui consumo di batteria e dati non corrisponde all’uso reale, o siti che ti chiedono di risolvere captcha in continuazione perché il tuo indirizzo sembra sospetto.

Poiché i dispositivi infetti erano sparsi in tutto il mondo e non concentrati in un solo Paese, il rischio non è regionale. Chiunque usi un vecchio router o un economico telefono Android pieno di utilità gratuite poteva esserne coinvolto. Le difese pratiche sono poco vistose e ben note: tieni aggiornati router e telefoni, elimina le app gratuite che non usi davvero, evita il software scaricato fuori dagli store ufficiali e le VPN non ufficiali che promettono qualcosa in cambio di nulla, e riavvia un router che gira intatto da anni.

Il caso è iniziato quando un ricercatore di sicurezza ha segnalato al Centro nazionale per la sicurezza informatica un’attività proxy sospetta, e le autorità olandesi hanno fatto sapere che l’analisi dei server sequestrati prosegue, senza arresti annunciati finora. Ciò che mette in chiaro è che l’economia dei dispositivi comprende ormai un mercato nero della tua banda. La prossima volta che un’app sarà gratuita, il prodotto in vendita potrebbe essere la connessione a internet che già stai pagando.