Seu celular ou roteador pode ter sido um dos 17 milhões de aparelhos alugados em segredo

Uma botnet nem sempre se denuncia deixando o celular lento ou enchendo a tela de janelas pop-up. A rede que a polícia holandesa acabou de desmontar quase não fazia nada que um dono comum notasse. Ela tomava emprestada em silêncio uma fração de mais de 17 milhões de aparelhos, incluindo computadores, smartphones, tablets, roteadores domésticos e dispositivos conectados, e alugava suas conexões para terceiros. Se um desses aparelhos era o seu, alguém que você nunca vai conhecer pode ter navegado, coletado dados ou atacado sites durante meses pela sua linha de casa.

A Polícia Nacional dos Países Baixos e o Centro Nacional de Cibersegurança do país encerraram a operação depois de apreender cerca de 200 servidores de um provedor de hospedagem dentro do território holandês. Os investigadores descrevem a rede como um serviço de proxy residencial, um sistema que encaminha o tráfego de uns pelos aparelhos reais de outros para que pareça navegação doméstica comum. Esse disfarce é o produto inteiro. O tráfego que aparenta sair de um endereço residencial verdadeiro escapa dos filtros antifraude que bloqueariam na hora um servidor de data center conhecido, e é exatamente por isso que os proxies residenciais são tão cobiçados por anunciantes, coletores de dados e criminosos.

A imprensa holandesa ligou a infraestrutura à ASOCKS, uma empresa sediada na Rússia que vende acesso comercial a proxies residenciais e móveis. À primeira vista, a ASOCKS parece um negócio de assinatura normal. O problema é de onde vêm suas conexões residenciais. Pesquisadores de segurança alertam há anos que boa parte dos aparelhos que abastecem redes como essa nunca foi cadastrada de forma consciente, e que seus donos não faziam ideia de que sua banda estava à venda.

Os aparelhos foram recrutados de algumas maneiras, e quase todas se resumem a confiança mal colocada em software gratuito. Algumas pessoas instalaram um app grátis, um papel de parede, um utilitário de celular ou uma VPN não oficial, que carregava em segundo plano um software de proxy. No Android, uma biblioteca de código chamada PROXYLIB, escondida dentro de um kit de desenvolvimento que criadores de apps embutiam em seus produtos, cadastrava os telefones como nós de proxy sem perguntar. Outras máquinas foram infectadas por malware que instalava diretamente a mesma capacidade. Em todos os casos o aparelho seguia funcionando normalmente enquanto sua conexão trabalhava para outra pessoa.

Uma vez no grupo, a conexão de um dispositivo podia servir para quase tudo que se beneficia de parecer um usuário doméstico inofensivo. As autoridades holandesas dizem que a rede alimentava campanhas de phishing, spam, ataques de negação de serviço que derrubam serviços on-line, tentativas de login por força bruta e preenchimento de credenciais, fraude de cliques e esquemas de SMS premium que drenam dinheiro em silêncio. Um único roteador sequestrado quase não gera nada disso sozinho. Dezessete milhões, somados, viram infraestrutura de verdade.

O desmantelamento é real, mas não é uma cura. A polícia ficou com os servidores que coordenavam a rede, mas o site da ASOCKS continuava acessível depois, e não está claro quanto do negócio por trás foi de fato destruído. Desligar os servidores de comando não limpa automaticamente os 17 milhões de aparelhos, porque o código de proxy embutido e o malware podem ficar intactos num telefone ou roteador até que um novo operador os retome. Além disso, o abuso de proxies residenciais é um mercado, não uma única empresa. Você fecha uma rede e a demanda migra para a seguinte, porque o apetite legítimo por endereços reais, de firmas de verificação de anúncios a empresas de IA que varrem a web, mantém o modelo lucrativo.

Para dar a dimensão, 17 milhões de aparelhos colocam essa entre as maiores redes de proxy já desligadas, muito acima de muitas botnets de malware que viram manchete por espalhar um único vírus. Mas, ao contrário de uma infecção por ransomware, raramente há um sintoma óbvio. As pistas costumam ser banais: um roteador que esquenta ou reinicia sem motivo, um plano de internet de casa que vive batendo no limite de dados, um celular cujo gasto de bateria e dados não combina com o uso real, ou sites que pedem para você resolver captchas o tempo todo porque acham seu endereço suspeito.

Como os aparelhos infectados estavam espalhados pelo mundo e não concentrados num único país, o risco não é regional. Qualquer pessoa com um roteador velho ou um celular Android barato cheio de utilitários grátis pode ter sido arrastada. As defesas práticas são pouco glamourosas e bem conhecidas: mantenha roteadores e telefones atualizados, apague os apps grátis que você não usa de fato, fuja de software baixado fora das lojas oficiais e de VPNs não oficiais que prometem algo por nada, e reinicie um roteador que roda intocado há anos.

O caso começou quando um pesquisador de segurança alertou o Centro Nacional de Cibersegurança sobre uma atividade de proxy suspeita, e as autoridades holandesas sinalizaram que a análise dos servidores apreendidos continua, sem prisões anunciadas até agora. O que ele deixa claro é que a economia dos dispositivos já inclui um mercado negro da sua banda. Da próxima vez que um app for grátis, o produto à venda pode ser a conexão de internet que você já paga.