Die Threat Analysis Group von Google hat ungewöhnlich großen ausgehenden Datenverkehr von Millionen von mit dem Internet verbundenen Geräten festgestellt. Die Muster stimmten nicht mit typischen Malware-Signaturen überein. Stattdessen identifizierten die Forscher ein riesiges verteiltes Relay-System, das Daten für Dritte über private Telefone, Computer und Smart-Home-Geräte weiterleitete.
Betreiber war ein chinesisches Unternehmen namens IPIDEA. Google beschrieb die Abschaltung als das größte private Proxy-Netzwerk, das in der Geschichte aufgelöst wurde. Mit einem Beschluss eines Bundesgerichts hat Google die Web-Domains und die Backend-Infrastruktur, die den Vorgang koordinierten, deaktiviert. Durch diese Aktion wurde ein Netzwerk lahmgelegt, das jahrelang ohne Wissen der Gerätebesitzer funktioniert hatte.
IPIDEA bettet Software-Entwicklungskits (SDKs) in Hunderte von Apps und Desktop-Programmen ein. Dazu gehörten kostenlose Spiele, Hilfsprogramme und Produktivitätsanwendungen, die Benutzer regelmäßig herunterluden. Nach der Installation wandelten die SDKs Geräte in Ausgangsknoten um, leiteten den Internetverkehr weiter und verbargen die Identität des ursprünglichen Absenders.
Proxys dieser Art leiten Datenanfragen weiter, häufig zu Datenschutz- oder Testzwecken. IPIDEA nutzte jedoch persönliche Geräte, um den hohen Datenverkehr abzuwickeln. Zu Spitzenzeiten umfasste das Netzwerk über 9 Millionen Android-Telefone weltweit.
Google hat mehr als 600 Apps identifiziert, die IPIDEA SDK-Versionen mit Proxy-Funktionen enthalten. Der Play Protect-Sicherheitsscanner von Google Play erkennt und blockiert diese Bibliotheken jetzt. Apps aus Drittanbieter-Stores bleiben jedoch weiterhin gefährdet.
Das System vermied herkömmliche Malware, indem es die in der Android-Architektur inhärenten Berechtigungen nutzte. Die Erkennung erfolgte erst, nachdem Forscher das Verkehrsaufkommen von privaten IP-Adressen beobachtet hatten.
Vor der Aktion von Google nutzten Angreifer im Jahr 2025 eine Schwachstelle in der IPIDEA-Infrastruktur aus. Sie übernahmen die Kontrolle und integrierten Millionen von Geräten in ein Botnetz namens Kimwolf. Dieses Botnetz führte verteilte Denial-of-Service- oder DDoS-Angriffe durch.
IPIDEA räumte ein, dass kriminelle Akteure ihre Plattform missbraucht hatten. Das Unternehmen kam der gerichtlichen Anordnung von Google zur Einstellung seiner Dienste nicht nach. Google hat nun die Backend-Infrastruktur offline geschaltet und damit die Koordinierung des Datenverkehrs über Kontinente hinweg gestoppt.
Der Vorfall offenbart Herausforderungen in der mobilen Sicherheit. Proxy-SDKs, Analyse-Tracker und Werbenetzwerke beinhalten alle Datenflüsse zwischen Entwicklern und Dritten. Dadurch kommt es zu Überschneidungen zwischen autorisierten Vorgängen und unbefugter Nutzung.
Benutzer sind Risiken ausgesetzt, wenn sie kostenlose oder geknackte Apps aus nicht verifizierten Quellen herunterladen. Die Abwehrmaßnahmen von Android blockieren einen Großteil des bösartigen Codes, SDK-basierte Methoden entziehen sich jedoch der Erkennung, da sie legitimes Verhalten nachahmen.
