Mi volt a probléma?
Egy IPIDEA nevű, Kínához köthető „lakossági proxy hálózat” ezrek helyett milliók Androidos és más készülékét titokban használta fel arra, hogy a felhasználók internetkapcsolatán keresztül rejtve futtasson rosszindulatú forgalmat a kiberbűnözők számára. A proxy- és VPN-szolgáltatás mögött valójában olyan kód volt, amely a telefonokat és más eszközöket a támadók forgalmának „kimeneti pontjaivá” tette, így azok IP-címeit használva bujkáltak a nyomok elől.

Hogyan épült fel és jutott be?
Az eszközök többségét nem klasszikus „hackeléssel” fertőzték meg, hanem olyan Android-alkalmazásokon keresztül, amelyek harmadik féltől származó fejlesztői csomagokat (SDK-kat) használtak. Ezek a háttérben, a felhasználó tudta nélkül csatlakoztatták az eszközöket a hálózathoz.

Sok esetben a rosszindulatú kódot teljesen legitimnek tűnő segédalkalmazásokba vagy VPN-szolgáltatásokba rejtették, így a felhasználók nem érzékeltek gyanús működést.

Miért volt veszélyes?
A hálózatot széles körben használták kiberbűnözők, kémszervezetek és botnetek. Több mint 550 különböző fenyegető csoport vetette be az IPIDEA „exit pontjait” például hitelesítő adatok elleni támadásokra, DDoS-kampányokra vagy különböző infrastruktúrák kompromittálására.

Mit tett a Google?
A Google Threat Intelligence Group (GTIG) és partnerei több lépésben avatkoztak be:

• jogi úton letiltották a proxy hálózat működéséhez szükséges domainneveket, ezzel milliókkal csökkentve az aktív eszközök számát;

• frissítették a Google Play Protectet, amely immár figyelmezteti a felhasználókat és automatikusan eltávolítja az IPIDEA-kódot tartalmazó alkalmazásokat, valamint megakadályozza az újbóli telepítésüket;

• szigorították a Play Store SDK-szabályozását, és technikai információkat osztottak meg más szereplőkkel is, például a Cloudflare-rel.

Mi lett az eredmény?
A hálózat működése jelentősen meggyengült, és a jövőben sokkal nehezebb lesz hasonló visszaéléseket újra felépíteni. Bár a fenyegetés nem szűnt meg teljesen, a rosszindulatú tevékenységekhez felhasználható eszközök száma jelentősen csökkent.

A cikk nyilvánosan elérhető sajtó- és biztonsági jelentések alapján készült.

források:

• HVG – Androidos eszközöket érintő IPIDEA proxyhálózat és a Google fellépése
  https://hvg.hu/tudomany/20260203_android-ipidea-proxy-halozat-fenyegetes-leallitasa-google

• Help Net Security – Google disrupts major IPIDEA residential proxy network
  https://www.helpnetsecurity.com/2026/01/29/ipidea-proxy-network-disrupted/

• Google Threat Intelligence Group (GTIG) – Residential proxy abuse elleni fellépés
  https://blog.google/threat-analysis-group/

• Cloudflare – Residential proxy hálózatok és visszaélések technikai háttere
  https://www.cloudflare.com/learning/security/threats/residential-proxies/