Tóm lại:
- PCWorld đưa tin rằng Google đã triệt phá IPIDEA, mạng lưới proxy dân dụng lớn nhất thế giới, mạng lưới này đã bí mật chiếm quyền điều khiển 9 triệu thiết bị Android thông qua các SDK ẩn trong các ứng dụng miễn phí.
- Mạng lưới này đã biến điện thoại thông minh và máy tính cá nhân của người dùng vô tội thành các cổng proxy, cho phép tội phạm mạng che giấu danh tính và phát động các cuộc tấn công DDoS thông qua mạng botnet Kimwolf.
- Google đã nhận được lệnh của tòa án liên bang để đóng cửa các trang web và hệ thống máy chủ của IPIDEA, bảo vệ hàng triệu người khỏi bị khai thác thêm.
Mới đây, Google đã tuyên bố trong một thông cáo rằng họ đã triệt phá "mạng lưới proxy dân dụng lớn nhất thế giới". Mạng lưới này đã hoạt động mà không bị phát hiện trong một thời gian dài, chiếm đoạt các thiết bị cá nhân của người dùng vô tội (bao gồm điện thoại thông minh, máy tính cá nhân và thiết bị nhà thông minh) và sử dụng chúng làm cổng để phân phối dữ liệu.
Công ty này giải thích rằng một công ty Trung Quốc tên là IPIDEA đứng sau vụ việc và, với sự trợ giúp của lệnh tòa án liên bang Hoa Kỳ, Google đã có thể đóng cửa một số trang web và hệ thống máy chủ, nhờ đó ngăn chặn mạng lưới này tiếp tục hoạt động.
Tóm lại, máy chủ proxy giống như một trạm chuyển tiếp, chuyển tiếp các yêu cầu và lưu trữ dữ liệu. Ví dụ, giả sử kẻ tấn công muốn thực hiện một cuộc tấn công DDoS. Thay vì tấn công bằng các thiết bị có thể theo dõi được của chính mình, kẻ tấn công có thể chuyển tiếp các cuộc tấn công thông qua một mạng lưới proxy bao gồm các điện thoại thông minh và thiết bị thuộc sở hữu của người khác, từ đó che giấu danh tính của chúng.
Theo Google, hàng triệu thiết bị thuộc mạng lưới proxy của IPIDEA, bao gồm ít nhất 9 triệu thiết bị Android. Một số trong số đó là điện thoại thông minh, nhưng nhiều thiết bị khác là các thiết bị Android Open Source Project TV không được chứng nhận và không chính thức, theo một phát ngôn viên của Google.
Người dùng truy cập vào mạng proxy như thế nào?
Hầu hết người dùng bị đưa vào mạng lưới của IPIDEA bằng cách cài đặt các ứng dụng, trò chơi và phần mềm máy tính để bàn miễn phí có chứa các đoạn mã ẩn (được gọi là SDK) mà không bị coi là độc hại vì chúng không hạn chế việc sử dụng thiết bị. Tuy nhiên, chúng cho phép bên thứ ba truy cập.
Do đó, IPIDEA có thể sử dụng các SDK này để biến thiết bị bị ảnh hưởng thành một nút thoát cho mạng proxy của nó. Sau đó, chúng có thể chuyển tiếp và che giấu dữ liệu mà không bị phát hiện thông qua địa chỉ IP của người dùng.
Theo Google, Google Play Protect (trình quét mối đe dọa nội bộ của Play Store) có thể phát hiện và chặn SDK IPIDEA một cách đáng tin cậy. Tuy nhiên, các ứng dụng từ các cửa hàng bên thứ ba hoặc các nguồn không an toàn khác thì không an toàn như vậy. Chúng ta đang nói đến “hơn 600 ứng dụng từ nhiều nguồn tải xuống khác nhau… đã kích hoạt hành vi proxy IPIDEA”.
Liệu vẫn còn rủi ro không?
Google nhấn mạnh rằng việc đóng cửa mạng lưới của IPIDEA sẽ ngăn chặn hàng triệu thiết bị tiếp tục bị lạm dụng làm máy chủ proxy. Mặt khác, IPIDEA nói với tờ Wall Street Journal rằng các dịch vụ của họ chỉ dành cho “mục đích kinh doanh hợp pháp”. Công ty này không phản hồi lệnh của tòa án yêu cầu đóng cửa mạng lưới của mình.
Tuy nhiên, IPIDEA thừa nhận rằng các đối tượng tội phạm khác đã có thể lợi dụng mạng lưới này. Vào năm 2025, tin tặc đã khai thác được một lỗ hổng trong mạng và chiếm quyền điều khiển hàng triệu thiết bị. Những thiết bị này được thêm vào một mạng botnet có tên “Kimwolf”, được liên kết với nhiều cuộc tấn công DDoS khác nhau.
Đối với người dùng Android, điều đặc biệt quan trọng là bạn không bao giờ cài đặt ứng dụng từ các nguồn không rõ ràng, không an toàn. Ngay cả các ứng dụng từ các cửa hàng có vẻ hợp pháp cũng có thể chứa Trojan. Để được bảo vệ thêm, bạn nên cài đặt ứng dụng chống virus trên thiết bị Android của mình và kích hoạt Google Play Protect.
Bài viết này ban đầu được đăng trên ấn phẩm chị em của chúng tôi , PC-WELT , và đã được dịch và bản địa hóa từ tiếng Đức.
