谷歌的威胁分析小组检测到来自数百万互联网连接设备的异常高容量出站流量。这些模式与典型的恶意软件签名不匹配。相反,研究人员发现了一个大规模的分布式中继系统,该系统通过私人电话、计算机和智能家居设备为第三方路由数据。
运营商是一家名为IPIDEA的中国公司。谷歌将这次拆除描述为历史上最大的住宅代理网络被拆除。根据联邦法院的命令,谷歌禁用了协调操作的网络域和后端基础设施。这一行动关闭了一个在设备所有者不知情的情况下运行多年的网络。
IPIDEA 将软件开发套件 (SDK) 嵌入到数百个应用程序和桌面程序中。其中包括用户经常下载的免费游戏、实用工具和生产力应用程序。安装后,SDK 会将设备转换为出口节点,转发互联网流量并隐藏原始发送者的身份。
这种类型的代理中继数据请求,通常用于隐私或测试目的。然而,IPIDEA 使用个人设备来处理大流量。在鼎盛时期,该网络覆盖了全球超过 900 万部 Android 手机。
Google 发现了 600 多个包含具有代理功能的 IPIDEA SDK 版本的应用程序。 Google Play 的 Play Protect 安全扫描器现在可以检测并阻止这些库。然而,来自第三方商店的应用程序仍然面临风险。
该系统通过利用 Android 架构中固有的权限来避免传统的恶意软件。仅在研究人员观察住宅 IP 地址的流量后才进行检测。
在 Google 采取行动之前,攻击者于 2025 年利用了 IPIDEA 基础设施中的缺陷。他们夺取了控制权,将数百万台设备纳入名为 Kimwolf 的僵尸网络。该僵尸网络进行分布式拒绝服务(DDoS)攻击。
IPIDEA 承认犯罪分子滥用了其平台。该公司没有遵守谷歌关闭其服务的法院命令。谷歌现已关闭后端基础设施,停止跨大陆的流量协调。
该事件揭示了移动安全面临的挑战。代理 SDK、分析跟踪器和广告网络都涉及开发人员和第三方之间的数据流。这些在授权操作和未经授权的使用之间造成重叠。
用户因从未经验证的来源下载免费或破解的应用程序而面临风险。 Android 的防御措施可以阻止许多恶意代码,但基于 SDK 的方法可以逃避检测,因为它们模仿合法行为。
<小时/>
