El Grupo de Análisis de Amenazas de Google detectó un tráfico saliente inusual de gran volumen procedente de millones de dispositivos conectados a Internet. Los patrones no coincidían con las firmas típicas de malware. En cambio, los investigadores identificaron un sistema de retransmisión distribuido masivo que enrutaba datos a través de teléfonos privados, computadoras y dispositivos domésticos inteligentes para un tercero.
El operador era una empresa china llamada IPIDEA. Google describió la caída como la red de proxy residencial más grande desmantelada en la historia. Con una orden de un tribunal federal, Google deshabilitó los dominios web y la infraestructura backend que coordinaba la operación. Esta acción cerró una red que había funcionado durante años sin el conocimiento de los propietarios de dispositivos.
Los kits de desarrollo de software integrados de IPIDEA, o SDK, en cientos de aplicaciones y programas de escritorio. Estos incluían juegos gratuitos, herramientas de utilidad y aplicaciones de productividad que los usuarios descargaban habitualmente. Una vez instalados, los SDK convirtieron los dispositivos en nodos de salida, reenviando el tráfico de Internet y ocultando la identidad del remitente original.
Los servidores proxy de este tipo transmiten solicitudes de datos, a menudo con fines de privacidad o de prueba. IPIDEA, sin embargo, utilizó dispositivos personales para manejar un gran volumen de tráfico. En su apogeo, la red incluía más de 9 millones de teléfonos Android en todo el mundo.
Google identificó más de 600 aplicaciones que contienen versiones del SDK de IPIDEA con capacidades de proxy. El escáner de seguridad Play Protect de Google Play ahora detecta y bloquea estas bibliotecas. Sin embargo, las aplicaciones de tiendas de terceros siguen en riesgo.
El sistema evitó el malware tradicional aprovechando los permisos inherentes a la arquitectura de Android. La detección se produjo sólo después de que los investigadores observaron el volumen de tráfico procedente de direcciones IP residenciales.
Antes de la acción de Google, los atacantes explotaron una falla en la infraestructura IPIDEA en 2025. Tomaron el control, incorporando millones de dispositivos en una botnet llamada Kimwolf. Esta botnet llevó a cabo ataques distribuidos de denegación de servicio, o DDoS.
IPIDEA reconoció que actores criminales habían abusado de su plataforma. La empresa no cumplió con la orden judicial de Google de desmantelar sus servicios. Google ahora ha desconectado la infraestructura backend, deteniendo la coordinación del tráfico entre continentes.
El incidente revela desafíos en la seguridad móvil. Los SDK de proxy, los rastreadores de análisis y las redes publicitarias implican flujos de datos entre desarrolladores y terceros. Estos crean una superposición entre las operaciones autorizadas y el uso no autorizado.
Los usuarios enfrentan riesgos al descargar aplicaciones gratuitas o descifradas de fuentes no verificadas. Las defensas de Android bloquean gran parte del código malicioso, pero los métodos basados en SDK evaden la detección porque imitan un comportamiento legítimo.
