De Threat Analysis Group van Google heeft ongebruikelijk groot uitgaand verkeer gedetecteerd van miljoenen met internet verbonden apparaten. De patronen kwamen niet overeen met typische malwarehandtekeningen. In plaats daarvan identificeerden onderzoekers een enorm gedistribueerd relaissysteem dat gegevens via privételefoons, computers en smarthome-apparaten voor een derde partij doorstuurde.
De operator was een Chinees bedrijf genaamd IPIDEA. Google beschreef de verwijdering als het grootste residentiële proxynetwerk dat in de geschiedenis is ontmanteld. Met een federaal gerechtelijk bevel heeft Google de webdomeinen en de backend-infrastructuur die de operatie coördineerden, uitgeschakeld. Door deze actie werd een netwerk platgelegd dat jarenlang had gefunctioneerd zonder medeweten van de apparaateigenaren.
IPIDEA integreerde softwareontwikkelingskits, of SDK’s, in honderden apps en desktopprogramma’s. Deze omvatten gratis games, hulpprogramma’s en productiviteitstoepassingen die gebruikers routinematig downloadden. Eenmaal geïnstalleerd, veranderden de SDK’s apparaten in exit-knooppunten, stuurden internetverkeer door en verborgen de identiteit van de oorspronkelijke afzender.
Proxy’s van dit type geven gegevensverzoeken door, vaak voor privacy- of testdoeleinden. IPIDEA gebruikte echter persoonlijke apparaten om het grote verkeer af te handelen. Op zijn hoogtepunt omvatte het netwerk meer dan 9 miljoen Android-telefoons wereldwijd.
Google heeft meer dan 600 apps geïdentificeerd die IPIDEA SDK-versies met proxymogelijkheden bevatten. De Play Protect-beveiligingsscanner van Google Play detecteert en blokkeert deze bibliotheken nu. Apps uit winkels van derden blijven echter gevaar lopen.
Het systeem vermeed traditionele malware door gebruik te maken van machtigingen die inherent zijn aan de Android-architectuur. Detectie vond pas plaats nadat onderzoekers de hoeveelheid verkeer vanaf residentiële IP-adressen hadden geobserveerd.
Voorafgaand aan de actie van Google maakten aanvallers in 2025 misbruik van een fout in de IPIDEA-infrastructuur. Ze grepen de controle en integreerden miljoenen apparaten in een botnet genaamd Kimwolf. Dit botnet voerde gedistribueerde denial-of-service- of DDoS-aanvallen uit.
IPIDEA erkende dat criminele actoren misbruik hadden gemaakt van zijn platform. Het bedrijf voldeed niet aan het gerechtelijk bevel van Google om zijn diensten te ontmantelen. Google heeft nu de backend-infrastructuur offline gehaald, waardoor de coördinatie van verkeer tussen continenten wordt stopgezet.
Het incident brengt uitdagingen op het gebied van mobiele beveiliging aan het licht. Proxy-SDK’s, analysetrackers en advertentienetwerken omvatten allemaal gegevensstromen tussen ontwikkelaars en derde partijen. Deze creëren overlap tussen geautoriseerde handelingen en ongeoorloofd gebruik.
Gebruikers lopen risico’s als ze gratis of gekraakte apps downloaden van niet-geverifieerde bronnen. De verdediging van Android blokkeert veel kwaadaardige code, maar SDK-gebaseerde methoden omzeilen detectie omdat ze legitiem gedrag nabootsen.
