Il Threat Analysis Group di Google ha rilevato un insolito volume elevato di traffico in uscita proveniente da milioni di dispositivi connessi a Internet. I modelli non corrispondevano alle tipiche firme malware. Invece, i ricercatori hanno identificato un enorme sistema di inoltro distribuito che instradava i dati attraverso telefoni privati, computer e dispositivi domestici intelligenti per conto di terzi.
L’operatore era una società cinese denominata IPIDEA. Google ha descritto la rimozione come la più grande rete proxy residenziale smantellata nella storia. Con un ordine del tribunale federale, Google ha disabilitato i domini web e l’infrastruttura backend che coordinava l’operazione. Questa azione ha bloccato una rete che operava da anni all’insaputa dei proprietari dei dispositivi.
IPIDEA ha integrato i kit di sviluppo software, o SDK, in centinaia di app e programmi desktop. Questi includevano giochi gratuiti, strumenti di utilità e applicazioni di produttività che gli utenti scaricavano regolarmente. Una volta installati, gli SDK convertivano i dispositivi in nodi di uscita, inoltrando il traffico Internet e nascondendo l’identità del mittente originale.
I proxy di questo tipo inoltrano richieste di dati, spesso per scopi di privacy o di test. IPIDEA, tuttavia, utilizzava dispositivi personali per gestire volumi elevati di traffico. Al suo apice, la rete comprendeva oltre 9 milioni di telefoni Android in tutto il mondo.
Google ha identificato più di 600 app contenenti versioni dell’SDK IPIDEA con funzionalità proxy. Lo scanner di sicurezza Play Protect di Google Play ora rileva e blocca queste librerie. Le app di store di terze parti, tuttavia, rimangono a rischio.
Il sistema ha evitato il malware tradizionale sfruttando le autorizzazioni inerenti all’architettura di Android. Il rilevamento è avvenuto solo dopo che i ricercatori hanno osservato il volume di traffico proveniente dagli indirizzi IP residenziali.
Prima dell’azione di Google, nel 2025 gli aggressori hanno sfruttato una falla nell’infrastruttura IPIDEA e ne hanno preso il controllo, incorporando milioni di dispositivi in una botnet chiamata Kimwolf. Questa botnet ha condotto attacchi Denial of Service distribuiti, o DDoS.
IPIDEA ha riconosciuto che gli attori criminali avevano abusato della sua piattaforma. L’azienda non ha rispettato l’ordine del tribunale di Google di smantellare i suoi servizi. Google ha ora messo offline l’infrastruttura di backend, interrompendo il coordinamento del traffico attraverso i continenti.
L’incidente rivela sfide nella sicurezza mobile. Gli SDK proxy, i tracker di analisi e le reti pubblicitarie implicano tutti flussi di dati tra sviluppatori e terze parti. Questi creano sovrapposizioni tra operazioni autorizzate e usi non autorizzati.
Gli utenti corrono rischi scaricando app gratuite o crackate da fonti non verificate. Le difese di Android bloccano gran parte del codice dannoso, ma i metodi basati sull’SDK sfuggono al rilevamento perché imitano un comportamento legittimo.
