Google schakelt miljoenen Android-telefoons uit verborgen Chinees proxynetwerk uit

Google is erin geslaagd om via juridische stappen een grootschalig en jarenlang onzichtbaar proxynetwerk uit de lucht te halen dat werd aangestuurd door het Chinese bedrijf Ipidea. Dit netwerk bestond uit miljoenen Android-smartphones, maar ook uit computers en andere slimme apparaten, die zonder medeweten van hun eigenaars werden misbruikt voor cybercriminaliteit en spionageactiviteiten.

Het proxynetwerk functioneerde door het internetverkeer van kwaadwillenden om te leiden via de besmette toestellen. Daardoor leek het alsof dat verkeer afkomstig was van gewone gebruikers, wat het bijzonder moeilijk maakte voor beveiligingssystemen om verdachte activiteiten te detecteren. Deze techniek werd onder meer ingezet voor DDoS-aanvallen, waarbij websites massaal werden overspoeld met verkeer om ze offline te halen, zoals eerder gebeurde bij aanvallen uitgevoerd door het Kimwolf-botnet.

Juridische actie tegen infrastructuur

Google wist het netwerk te ontmantelen door via de rechtbank controle te krijgen over domeinen die essentieel waren voor de werking van Ipidea’s infrastructuur. Deze domeinen fungeerden als command-and-controlpunten waarmee de besmette smartphones instructies ontvingen en hun internetverkeer doorsluisden. Door deze schakels offline te halen, werden naar schatting ongeveer 9 miljoen Android-smartphones losgekoppeld van het netwerk. Ook talloze andere apparaten verloren daarmee hun verbinding met de infrastructuur van Ipidea.

Verspreiding via ogenschijnlijk onschuldige apps

De besmetting van smartphones gebeurde voornamelijk via populaire Android-apps. Ipidea betaalde app-ontwikkelaars per download om zijn software te integreren in hun apps. Die software, in de vorm van een verborgen SDK (software development kit), werd ongemerkt mee geïnstalleerd zodra een gebruiker de app downloadde. Hoewel de app zelf normaal leek te functioneren, draaide er op de achtergrond extra code die het toestel inschakelde als proxy binnen het netwerk.

Voor de gebruiker bleef dit volledig onzichtbaar. Er verschenen geen waarschuwingen en het toestel vertoonde doorgaans geen merkbare prestatieproblemen. Ondertussen werd het IP-adres van het slachtoffer gebruikt voor uiteenlopende kwaadaardige activiteiten. Vooral IP-adressen uit Europa, de Verenigde Staten en Canada waren zeer gewild, omdat verkeer uit deze regio’s als betrouwbaarder wordt gezien en minder snel wordt geblokkeerd.

Google heeft inmiddels honderden Android-apps verwijderd uit zijn appwinkel die deze Ipidea-SDK’s bevatten en daarmee actief bijdroegen aan het proxynetwerk.

Grootschalig misbruik door statelijke en criminele actoren

Ipidea verhuurde zijn netwerk aan verschillende botnets en dreigingsgroepen, waaronder Kimwolf, BadBox 2.0 en Aisuru. Het netwerk werd niet alleen gebruikt voor cyberaanvallen, maar ook voor spionage, georganiseerde criminaliteit en grootschalige informatie- en beïnvloedingsoperaties.

De Google Threat Intelligence Group stelde vast dat binnen een periode van slechts één week meer dan 550 verschillende dreigingsgroepen gebruikmaakten van IP-adressen uit het Ipidea-netwerk. Hieronder bevonden zich actoren die gelinkt zijn aan landen zoals China, Noord-Korea, Iran en Rusland. Door hun activiteiten via dit netwerk te laten lopen, konden zij hun ware oorsprong effectief verhullen.

Een hardnekkig en moeilijk detecteerbaar probleem

Deze vorm van misbruik is bijzonder gevaarlijk omdat ze misbruik maakt van legitieme apparaten van nietsvermoedende burgers. Beveiligingssystemen zien het verkeer immers als normaal gebruikersverkeer, waardoor detectie en blokkering extreem lastig is. Juist die eigenschap maakte het Ipidea-netwerk zo waardevol voor cybercriminelen en statelijke actoren.

Met deze operatie heeft Google een van de grootste bekende mobiele proxynetwerken ooit verstoord. Tegelijkertijd onderstreept de zaak hoe kwetsbaar app-ecosystemen blijven voor misbruik, en hoe belangrijk controle, transparantie en beveiliging van mobiele software is.

Door: Drifter