Google przeprowadziło największą w historii akcję wymierzoną w tzw. „residential proxy network”. Miliony telefonów z Androidem – często bez wiedzy właścicieli – były wykorzystywane do przesyłania cudzych danych w sieci.
Eksperci Google Threat Analysis Group natrafili na coś, co na pierwszy rzut oka nie wyglądało jak klasyczne złośliwe oprogramowanie. Ruch sieciowy płynący przez miliony urządzeń był nietypowy. Zbyt masowy, zbyt równomierny i zbyt „czysty”, by przypominał botnet w tradycyjnym znaczeniu. Po głębszej analizie okazało się, że świat cyfrowy zmagał się z największą znaną siecią proxy opartą na prywatnych urządzeniach użytkowników.
9 milionów telefonów jako cyfrowe „słupy”
Według ustaleń Google, za całą operacją stała chińska firma IPIDEA, która stworzyła i przez lata utrzymywała gigantyczną sieć przekaźników danych. W jej szczytowym momencie obejmowała ona ponad 9 milionów smartfonów z Androidem, a także komputery i urządzenia smart home rozsiane po całym świecie.
Mechanizm był zaskakująco prosty. IPIDEA dostarczała deweloperom specjalne zestawy SDK (Software Development Kit), które trafiały do setek popularnych, darmowych aplikacji. Od gier przez narzędzia systemowe aż do aplikacji „zwiększających wydajność”. Po instalacji aplikacji telefon użytkownika mógł stać się węzłem wyjściowym dla cudzych zapytań internetowych, maskując prawdziwe źródło ruchu.
Proxy, które przekracza granice legalności
Proxy samo w sobie nie jest niczym złym – firmy korzystają z nich do testów, analityki czy ochrony prywatności. Problem zaczyna się wtedy, gdy nieświadome urządzenia prywatnych osób są wykorzystywane do obsługi ruchu o ogromnej skali.
Google ustaliło, że co najmniej 600 aplikacji zawierało komponenty IPIDEA umożliwiające taką funkcjonalność. Co gorsza, system nie wykorzystywał klasycznego malware – bazował na uprawnieniach wbudowanych w architekturę Androida. To sprawiało, że przez długi czas pozostawał praktycznie niewidoczny dla standardowych mechanizmów ochronnych.
Botnet w botnecie: sieć przejęta przez cyberprzestępców
Sytuacja stała się jeszcze poważniejsza w 2025 roku. Luki w infrastrukturze IPIDEA pozwoliły cyberprzestępcom przejąć kontrolę nad siecią i przekształcić ją w botnet nazwany Kimwolf. Miliony urządzeń zostały wówczas wykorzystane m.in. do ataków DDoS, pokazując, jak cienka jest granica między „legalnym” modelem biznesowym a pełnowymiarowym zagrożeniem cyberbezpieczeństwa.
Choć IPIDEA przyznała, że jej platforma była „nadużywana przez podmioty trzecie”, firma nie zastosowała się do nakazu sądowego wydanego w USA. W odpowiedzi Google, dysponując decyzją federalnego sądu, odłączyło domeny i zaplecze techniczne obsługujące cały system.
Play Protect pomaga, ale nie chroni wszystkich
Google zapewnia, że Play Protect potrafi już wykrywać i blokować biblioteki IPIDEA. Problem w tym, że aplikacje instalowane spoza Google Play – z alternatywnych sklepów lub nieoficjalnych źródeł – nadal mogą stanowić zagrożenie.
Cała sprawa obnaża szerszy problem bezpieczeństwa mobilnego. Jak odróżnić legalne SDK, narzędzia analityczne czy reklamowe od rozwiązań, które de facto eksploatują użytkownika jako zasób sieciowy?
Wniosek dla użytkowników? Stary, ale wciąż aktualny
Darmowe, zmodyfikowane lub „crackowane” aplikacje to wciąż ruletka. Nawet jeśli nie zawierają klasycznego wirusa, mogą zmienić telefon w element cudzej infrastruktury sieciowej. A to oznacza nie tylko zużycie transferu i baterii, ale też potencjalne ryzyko prawne i bezpieczeństwa.
Foto: Qwen3/AI.