A cég közlése szerint a hálózat mögött egy IPIDEA nevű kínai vállalat állt, és egy amerikai szövetségi bírósági végzés segítségével a Google több weboldalt és háttérrendszert is le tudott állítani, ezzel megakadályozva, hogy a hálózat tovább működjön.

A proxy szerverek lényegében közvetítőként működnek: továbbítják a kéréseket és adatokat tárolhatnak gyorsítótárban. Ez a technológia önmagában nem illegális, azonban bűnözők is kihasználhatják, például úgy, hogy támadásaikat mások eszközein keresztül irányítják, így elrejtve saját kilétüket. A Google példája szerint egy támadó akár DDoS-akciókat is indíthat úgy, hogy azokat egy mások tulajdonában lévő okostelefonokból álló proxyhálózaton keresztül vezeti át.

A vállalat állítása alapján az IPIDEA hálózatához milliónyi készülék tartozott, köztük legalább 9 millió Android okostelefon. A felhasználók többsége úgy került be az IPIDEA rendszerébe, hogy ingyenes alkalmazásokat, játékokat vagy asztali szoftvereket telepített, amelyek rejtett kódrészleteket – úgynevezett SDK-kat – tartalmaztak – jelenti a PC World.

Klasszikus rosszindulatú programok

Ezeket nem tekintették klasszikus rosszindulatú programnak, mert nem korlátozták közvetlenül az eszköz működését, ugyanakkor lehetővé tették, hogy harmadik felek hozzáférjenek a készülékhez. A Google szerint ezek az SDK-k tették lehetővé, hogy a fertőzött eszközök úgynevezett „kilépési pontként” működjenek a proxyhálózatban, vagyis a felhasználók IP-címén keresztül továbbítottak adatokat úgy, hogy mindez szinte teljesen észrevétlen maradt.

A vállalat hangsúlyozta, hogy a Google Play Protect – a Play Áruház belső fenyegetés-ellenőrző rendszere – képes felismerni és blokkolni az IPIDEA SDK-kat, azonban a harmadik féltől származó alkalmazásboltok és nem biztonságos letöltési források már jóval nagyobb kockázatot jelentenek. A Google szerint több mint 600 alkalmazás érintett volt, amelyek „több letöltési forrásból” származtak, és lehetővé tették az IPIDEA proxytevékenységét.

A Google kiemelte, hogy az IPIDEA hálózatának leállítása megakadályozza, hogy milliónyi eszközt továbbra is visszaélésre használjanak fel. Az IPIDEA ugyanakkor a Wall Street Journalnak azt állította, hogy szolgáltatásait kizárólag „legitim üzleti célokra” szánták. A vállalat nem reagált a bírósági végzésre, amely a hálózat megszüntetésére kötelezte.

Az IPIDEA ugyan elismerte, más bűnözői szereplők képesek voltak visszaélni a hálózattal. A beszámoló szerint 2025-ben támadók egy sebezhetőséget kihasználva milliónyi eszközt eltérítettek, amelyeket egy „Kimwolf” nevű botnethez adtak hozzá, és ezt több DDoS-támadással is összefüggésbe hozták.

Android-felhasználók számára a Google figyelmeztetése alapján különösen fontos, hogy soha ne telepítsenek alkalmazásokat ismeretlen vagy nem biztonságos forrásból, mivel még látszólag megbízható áruházakból származó appok is tartalmazhatnak trójai programokat. További védelemként a cikk szerint érdemes lehet vírusvédelmi alkalmazást is használni Android-eszközökön.