9 میلیون دستگاه اندرویدی قربانی یک شبکه پروکسی شدند

گوگل اخیراً در بیانیه‌ای اعلام کرد که «بزرگ‌ترین شبکه پروکسی خانگی جهان» را مختل کرده است. این شبکه توانسته بود برای مدت طولانی بدون شناسایی باقی بماند و با حمله hijacking دستگاه‌های خصوصی کاربران بی‌گناه (از جمله گوشی‌های هوشمند، کامپیوتر و دستگاه‌های Smart Home) از آن‌ها به‌عنوان دروازه‌هایی برای توزیع داده استفاده کند.

به گفته‌ی گوگل، یک شرکت چینی به نام IPIDEA پشت این ماجرا بوده و گوگل با کمک یک دستور دادگاه فدرال آمریکا توانسته چندین وب‌سایت و سامانه‌های پشتیبان این شبکه را از کار بیندازد و در نتیجه از ادامه فعالیت آن جلوگیری کند.

به‌طور خلاصه، یک سرور پروکسی مانند یک واسطه عمل می‌کند که درخواست‌ها را منتقل کرده و داده‌ها را ذخیره موقت (کش) می‌کند. برای مثال، فرض کنید یک مهاجم می‌خواهد حمله DDoS انجام دهد؛ به‌جای استفاده از دستگاه‌های قابل ردیابی خودش، می‌تواند حمله را از طریق یک شبکه پروکسی متشکل از گوشی‌ها و دستگاه‌های متعلق به دیگران هدایت کند و به این شکل هویت خود را پنهان نگه دارد. طبق گفته گوگل، میلیون‌ها دستگاه بخشی از شبکه پروکسی IPIDEA بوده‌اند که شامل دست‌کم 9 میلیون گوشی اندرویدی نیز می‌شود. در مقاله‌ای دیگر به بررسی خطر استفاده از فیلترشکن های رایگان کانفیگی پرداخته‌ایم که می‌توانید مطالعه کنید.

کاربران چگونه وارد شبکه پراکسی می‌شوند؟

بیشتر کاربران از طریق نصب برنامه‌های رایگان، بازی‌ها و نرم‌افزارهای دسکتاپ وارد شبکه IPIDEA شده‌اند؛ برنامه‌هایی که حاوی کدهای مخفی (معروف به SDK) بودند. این کدها معمولاً به‌عنوان بدافزار شناسایی نمی‌شوند، چون مستقیماً استفاده از دستگاه را محدود نمی‌کنند، اما امکان دسترسی اشخاص ثالث را فراهم خواهند کرد.

IPIDEA می‌توانست از این SDKها استفاده کند تا دستگاه آلوده را به یک گره خروجی در شبکه پروکسی خود تبدیل کند. سپس داده‌ها بدون اینکه کاربران متوجه شوند، از طریق آدرس IP آن‌ها منتقل و پنهان می‌شد.

به گفته گوگل، Google Play Protect (سامانه امنیتی داخلی گوگل پلی) می‌تواند SDKهای IPIDEA را به‌طور دقیق شناسایی و مسدود کند. اما برنامه‌هایی که از فروشگاه‌های شخص ثالث یا منابع ناامن نصب می‌شوند، چنین حفاظتی ندارند. گوگل اعلام کرده بیش از 600 اپلیکیشن در منابع دانلود مختلف وجود داشته که رفتار پرواکسی IPIDEA را فعال می‌کرده‌اند.

آیا هنوز خطری وجود دارد؟

گوگل تأکید می‌کند که با از کار انداختن شبکه IPIDEA، از سوءاستفاده ادامه‌دار از میلیون‌ها دستگاه به‌عنوان پروکسی جلوگیری شده است. در مقابل، IPIDEA به روزنامه وال‌استریت ژورنال گفته خدماتش صرفاً برای «اهداف تجاری مشروع» بوده است. این شرکت به دستور دادگاه برای تعطیلی شبکه خود پاسخی نداده است.

با این حال، IPIDEA پذیرفته که مجرمان دیگری نیز توانسته‌اند از این شبکه سوءاستفاده کنند. در سال 2025، مهاجمان با بهره‌برداری از یک آسیب‌پذیری، به میلیون‌ها دستگاه حمله کردند و آن‌ها را به یک بات‌نت به نام «Kimwolf» متصل کردند؛ بات‌نتی که با حملات مختلف DDoS مرتبط بود.

در نهایت برای کاربران اندروید بسیار مهم است که هیچ‌گاه برنامه‌ها را از منابع ناشناس و ناامن نصب نکنند. حتی برنامه‌های موجود در فروشگاه‌های به‌ظاهر معتبر هم ممکن است تروجان وارد دستگاه کنند. برای محافظت بیشتر، نصب یک آنتی‌ویروس روی دستگاه اندرویدی نیز می‌تواند مفید باشد.