Le groupe d’analyse des menaces de Google a détecté un trafic sortant inhabituel et volumineux provenant de millions d’appareils connectés à Internet. Les modèles ne correspondaient pas aux signatures typiques des logiciels malveillants. Au lieu de cela, les chercheurs ont identifié un système de relais distribué massif qui acheminait les données via des téléphones privés, des ordinateurs et des appareils domestiques intelligents pour un tiers.
L’opérateur était une société chinoise nommée IPIDEA. Google a décrit le démantèlement comme le plus grand réseau proxy résidentiel démantelé dans l’histoire. Avec une ordonnance d’un tribunal fédéral, Google a désactivé les domaines Web et l’infrastructure backend coordonnant l’opération. Cette action a fermé un réseau qui fonctionnait depuis des années à l’insu des propriétaires d’appareils.
Les kits de développement logiciel IPIDEA intégrés, ou SDK, dans des centaines d’applications et de programmes de bureau. Ceux-ci comprenaient des jeux gratuits, des outils utilitaires et des applications de productivité que les utilisateurs téléchargeaient régulièrement. Une fois installés, les SDK convertissaient les appareils en nœuds de sortie, transmettant le trafic Internet et masquant l’identité de l’expéditeur d’origine.
Les proxys de ce type relaient les demandes de données, souvent à des fins de confidentialité ou de test. IPIDEA, cependant, utilisait des appareils personnels pour gérer un trafic important. À son apogée, le réseau comprenait plus de 9 millions de téléphones Android dans le monde.
Google a identifié plus de 600 applications contenant des versions du SDK IPIDEA avec des fonctionnalités de proxy. Le scanner de sécurité Play Protect de Google Play détecte et bloque désormais ces bibliothèques. Les applications de magasins tiers restent toutefois menacées.
Le système a évité les logiciels malveillants traditionnels en exploitant les autorisations inhérentes à l’architecture d’Android. La détection n’a eu lieu qu’après que les chercheurs ont observé le volume de trafic provenant d’adresses IP résidentielles.
Avant l’action de Google, des attaquants ont exploité une faille dans l’infrastructure IPIDEA en 2025. Ils en ont pris le contrôle, incorporant des millions d’appareils dans un botnet appelé Kimwolf. Ce botnet a mené des attaques par déni de service distribué, ou DDoS.
IPIDEA a reconnu que des acteurs criminels avaient abusé de sa plateforme. L’entreprise n’a pas respecté l’ordonnance du tribunal de Google demandant le démantèlement de ses services. Google a désormais mis hors ligne l’infrastructure backend, interrompant ainsi la coordination du trafic entre les continents.
L’incident révèle des défis en matière de sécurité mobile. Les SDK proxy, les trackers analytiques et les réseaux publicitaires impliquent tous des flux de données entre les développeurs et les tiers. Celles-ci créent un chevauchement entre les opérations autorisées et les utilisations non autorisées.
Les utilisateurs courent des risques en téléchargeant des applications gratuites ou piratées à partir de sources non vérifiées. Les défenses d’Android bloquent une grande partie du code malveillant, mais les méthodes basées sur le SDK échappent à la détection car elles imitent un comportement légitime.
