Google wyłączył gigantyczną sieć proxy. Miliony urządzeń działały bez wiedzy użytkowników

Google odkryło i zlikwidowało największą sieć serwerów, które wykorzystywały prywatne telefony, komputery i inteligentne urządzenia domowe jako przekaźniki transmisji danych. Wszystko działo się bez wiedzy właścicieli tego sprzętu.

Początkowo nic nie wskazywało na ogromną skalę problemu, ale śledztwo zespołu Google odpowiedzialnego za analizę zagrożeń ujawniło potężną sieć proxy, która do działania wykorzystywała ogromną liczbę prywatnych urządzeń. Jakby tego było mało, robiła to bez wiedzy samych użytkowników. Za całą operacją stała chińska firma IPIDEA.

Na podstawie decyzji amerykańskiego sądu firma odcięła domeny i zaplecze techniczne, które przez lata utrzymywały tę infrastrukturę przy życiu. Jednym ruchem wyłączono system, który działał niemal niezauważalnie i obejmował miliony urządzeń na całym świecie.

Jak zwykłe aplikacje zmieniały się w narzędzie sieciowe

Mechanizm był zaskakująco prosty. IPIDEA umieszczała swoje narzędzia w postaci specjalnych bibliotek w setkach pozornie niewinnych aplikacji. Były to darmowe gry, narzędzia systemowe czy programy poprawiające wydajność, które wiele osób instaluje bez większego zastanowienia. Po instalacji aplikacji urządzenie użytkownika stawało się częścią sieci pośredniczącej w ruchu internetowym.

Google odkryło i zlikwidowało największą sieć serwerów, które wykorzystywały prywatne telefony, komputery i inteligentne urządzenia domowe jako przekaźniki transmisji danych. Wszystko działo się bez wiedzy właścicieli tego sprzętu.

Taki serwer proxy działa jak cyfrowy przekaźnik. Dane wysyłane przez jedną stronę przechodzą przez inne urządzenie, co utrudnia ustalenie ich prawdziwego źródła. W legalnych zastosowaniach takie rozwiązania służą na przykład do testowania usług lub ochrony prywatności.

W tym przypadku prywatne urządzenia były wykorzystywane jako zasłona dla masowego transferu danych. Według Google w szczytowym momencie sieć obejmowała ponad 9 milionów smartfonów z Androidem.

Chińczycy zaprzeczają

IPIDEA twierdziła, iż jej usługi miały „legalne zastosowania biznesowe”. Dowody zgromadzone przez Google temu jednak przeczą. W trakcie śledztwa odkryto ponad 600 aplikacji zawierających fragmenty kodu umożliwiające takie pośredniczenie w ruchu sieciowym. Co istotne, nie był to klasyczny malware. System wykorzystywał uprawnienia, które Android oferuje w standardzie, dlatego przez długi czas pozostawał niewidoczny dla zabezpieczeń.

Dopiero skala ruchu wychodzącego z prywatnych adresów IP zwróciła uwagę badaczy. Co więcej, sama infrastruktura IPIDEA padła wcześniej ofiarą ataku. W 2025 roku cyberprzestępcy przejęli kontrolę nad siecią i wykorzystali ją do ataków typu DDoS, tworząc botnet Kimwolf. Miliony cudzych urządzeń stały się wtedy narzędziem do zakłócania działania innych usług w sieci.

Co to oznacza dla użytkowników

Google informuje, że Play Protect potrafi już wykrywać i blokować tego typu biblioteki w aplikacjach dostępnych w sklepie Google Play. Problemem wciąż pozostają programy instalowane z zewnętrznych źródeł, gdzie takie mechanizmy ochrony nie zawsze działają.

Oczywiście klasycznie trzeba zachować ostrożność i instalować tylko sprawdzone programy.