2023年にアンダーグラウンドフォーラムでIPColaサービスが立ち上げられた当初は、またひとつのプロキシマーケットプレイスに過ぎないように見えました。しかし、宣伝されていたアドレスプールの規模とトラフィックの発生源から、Synthient Researchは、はるかに入り組んだ仕組みが背後にあると結論づけました。調査の結果、このプラットフォームはサードパーティ製アプリケーションやデバイスの上に構築されたネットワークと結びついており、ユーザーのトラフィックが本人の知らないところで静かに収益源へと変換されていることが明らかになりました。
IPColaは本人確認を行わず、暗号通貨での支払いを受け付け、非常に広範なプロキシへのアクセスを提供しています。しかし、このインフラの中核となる要素はマーケットプレイスそのものではなく、その技術的な記録に参照されているドメインでした。IPアドレスを逆引きしたところ、研究者たちはGaganodeと呼ばれるリソースに行き当たりました。Gaganodeは分散型の帯域幅マネタイズをうたっており、両プラットフォームのインターフェースの見た目がよく似ていることや、共有されているドメインのつながりから、両者が密接に関係しているとの疑いが強まりました。
Gaganodeは、Androidベースのデバイスや安価なTVボックスを含む、事実上あらゆるアプリケーションに自社モジュールを組み込むためのツールを開発者に提供しています。一度インストールされると、このモジュールはトラフィックを受信・中継する能力を獲得し、ネットワーク管理者はデバイスに対してリモートでコマンドを発行できるようになります。Synthient Researchによれば、この機能は接続されたノードを事実上、中央集権的に管理されたネットワークへと変貌させており、正当な商用プロキシ機構というよりは、悪意あるコントロールに近いものだといいます。
Gaganodeモジュールは、一部の中国製TVボックスにプリインストールされていることが確認されており、そこでは他の隠れたマネタイズツールと並んで存在しています。また、古いバージョンの無料Windowsアプリケーションや、海賊版ソフトウェアを配布するウェブサイト上でも発見されています。この配布戦略により、個々のデバイスが断続的にしか稼働していなくても、ノードネットワークを急速に拡大させることが可能になります。
研究者たちが特に注目したのは、IPColaのドメイン記録と、中国市場向けサービスであるInstaIPのドメイン記録が重なっていた点です。ユーザー認証が存在しないことや、グレーマーケット系フォーラムで積極的に宣伝されていることと合わせて考えると、IPColaは海外の購入者向けの外向きストアフロントとして設計されたと考えられます。Synthient Researchは、両サービスが中国企業の诺辰科技(NuoChen Technology)と結びついているとの見方を崩しておらず、同社はトラフィック中継サービスを提供する一方で、そのインフラを可能な限り広範に活用しているように見えるとしています。
Synthient Researchの試算によると、IPColaは週あたりおよそ160万件のユニークIPアドレスを生成しており、その多くはインド、ブラジル、および南米各国のデバイスに由来しています。さまざまなプロキシプラットフォーム間でアドレスプールが重複していることから、単一のアプリケーション内で複数の埋め込みモジュールが同時に動作している可能性が示唆されており、ネットワーク同士が混ざり合うことで、その出自はいっそう不透明になっています。IPColaの事例は、プロキシ市場がアドレスプールを構築するにあたり、いかに不透明で倫理的に疑わしい手法に依存しうるかを如実に物語っています。
翻訳元: https://meterpreter.org/the-proxy-ghost-ipcolas-network-feeds-on-user-devices-covertly/
