När Googles säkerhetsteam började se märklig nätverkstrafik sprida sig över miljontals uppkopplade enheter var det något som skavde. Mönstren stämde inte med kända former av skadlig kod. Trafiken såg inte ut som attacker, kapningar eller klassiska botnät. Bilden som växte fram var något annat. Ett enormt distribuerat reläsystem där privata mobiltelefoner, datorer och smarta hem-enheter i tysthet flyttade data åt någon annan.
Den någon visade sig vara ett kinesiskt bolag med namnet IPIDEA.
Upptäckten ledde till det som Google själva beskriver som den största nedstängningen av ett så kallat residential proxy-nätverk hittills. Med stöd av ett federalt domstolsbeslut slog bolaget av domäner och backend-infrastruktur som höll hela systemet samman. I ett samordnat ingrepp stängdes ett nätverk ned som hade varit aktivt i åratal, till stora delar osynligt för de användare vars enheter utnyttjades.
Cynism
Metoden var enkel, nästan elegant i sin cynism. IPIDEA byggde in sina utvecklingsbibliotek i hundratals till synes harmlösa appar och datorprogram. Gratis spel. Verktygsappar. Produktivitetsprogram. Den typ av mjukvara du laddar ned utan att tänka efter särskilt länge. När biblioteken väl fanns installerade förvandlades din enhet i bakgrunden till en utgångspunkt för någon annans internettrafik.
Ett sådant proxy-system fungerar som ett digitalt relä. Förfrågningar skickas vidare via en annan enhet, vilket döljer den ursprungliga avsändaren. Tekniken används legitimt i integritetstjänster och företagsmiljöer. IPIDEA valde en annan väg. Ramverket använde privata användares enheter som täckmantel för stora datamängder. Vid sin topp uppskattar Google att nätverket omfattade över nio miljoner Android-telefoner världen över.
IPIDEA hävdade i intervjuer att nätverket användes för legitima affärsändamål. Googles granskning visar hur snabbt sådana system kan glida över i ren exploatering. Över 600 olika appar identifierades med versioner av IPIDEA:s bibliotek som kunde fungera som proxy.
Blockera
Googles säkerhetsskydd i Play Store kan numera identifiera och blockera dessa bibliotek. Appar som installeras från externa appbutiker förblir däremot sårbara.
Det som gjorde nätverket särskilt svårfångat var att det inte byggde på skadlig kod i traditionell mening. Lösningen utnyttjade behörigheter som redan finns inbyggda i Androids arkitektur. Upplägget gjorde det svårt att upptäcka, åtminstone tills forskarna såg den extrema mängden utgående trafik som passerade helt vanliga bostads-IP-adresser.
Problemen slutade inte där. Redan innan Googles ingripande hade IPIDEA:s nätverk kapats av andra aktörer. Under 2025 utnyttjades en sårbarhet som gav angripare kontroll över infrastrukturen. Miljontals enheter bakades då in i ett botnät som användes för överbelastningsattacker.
IPIDEA har i efterhand medgett att kriminella aktörer missbrukade plattformen. Bolaget följde samtidigt inte domstolsbeslutet om att själva avveckla tjänsten. Den centrala infrastrukturen som styrde trafiken mellan IP-adresser på olika kontinenter har nu stängts ned av Google.
Exolatering
Händelsen pekar på ett mer besvärligt problem i mobil säkerhet. Gränsen mellan legitim nätverksfunktion och otillåten exploatering är suddig. Proxy-bibliotek, analysverktyg och annonsnätverk bygger alla på delad datatrafik mellan utvecklare och tredje parter. I den gråzonen blir det svårt att avgöra var normal funktion slutar och missbruk börjar.
För dig som användare är slutsatsen obekväm men tydlig. Nedladdning av gratisappar eller modifierade versioner från tveksamma källor innebär i praktiken ett lotteri. Din enhet kan bli en del av någon annans infrastruktur utan att du märker det. Androids inbyggda skydd fångar mycket, men SDK-baserad exploatering passerar ofta under radarn eftersom den inte ser ut som klassisk skadlig kod.
