Google démantèle un réseau proxy chinois ayant piraté plus de 9 millions de smartphones Android pendant des années
La découverte de 9 millions de smartphones “piratés” par une organisation douteuse suscite l’attention, notamment révélée par TechSpot grâce aux investigations du Groupe d’Analyse des Menaces de Google. Ce réseau a fonctionné pendant plusieurs années en utilisant ces appareils convertis en ‘zombis’ pour transmettre massivement des données sans que les utilisateurs ne s’en aperçoivent.
Les chercheurs de Google ont identifié cette activité atypique en analysant des modèles de trafic qui ne correspondaient pas aux signatures classiques des malwares, mais qui évoquaient plutôt un système sophistiqué de retransmission de données. Ce dernier impliquait des millions de téléphones privés, ordinateurs et autres dispositifs envoyant des flux de données pour d’autres utilisateurs sans qu’ils en soient conscients.
Au cœur de cette pratique se trouvait une entreprise chinoise, IPIDEA, qui a affirmé agir pour des “fins d’affaires 100% légitimes”. Néanmoins, cette justification n’a pas retenu l’attention des enquêteurs, qui ont obtenu une ordonnance judiciaire fédérale pour déconnecter les domaines et l’ensemble de l’infrastructure de cette organisation. IPIDEA en ressort avec le record de la plus grande opération de démantèlement de réseaux proxy résidentiels connue à ce jour.
Le fonctionnement d’IPIDEA : plus de 600 applications “infectées” et 9 millions de dispositifs piratés
Il ne s’agit cependant pas de piratage au sens traditionnel. IPIDEA a intégré des kits de développement logiciel (SDK) dans de nombreuses applications apparemment inoffensives, affectant environ 600 applications communes. Dès lors, ces applications transformaient les dispositifs en ‘zombis’, prêts à être utilisés comme nœuds d’envoi pour du trafic Internet.
Ce système permettait de masquer l’identité de l’émetteur des données, utilisant les capacités de plus de 9 millions de smartphones Android à travers le monde. Les experts signalent que le scanner de sécurité de Google Play Protect peut désormais identifier et bloquer ces librairies, mais principalement pour les applications présentes sur le Play Store et non pour celles des magasins alternatifs.
Le mécanisme était simple : une fois que l’application avec le SDK d’IPIDEA était installée, le dispositif pouvait fonctionner comme un “nœud de sortie” pour dissimuler la transmission de données volumineuses, et cela de manière transparente pour l’utilisateur.
Ce sont des volumes importants de trafic sortant via des adresses IP résidentielles, qui n’étaient pas censées traiter de tels flux, qui ont attiré l’attention des chercheurs. Il a également été révélé que le réseau d’IPIDEA avait déjà été compromis en 2025, lorsque des hackers ont exploité une vulnérabilité systémique pour orchestrer des attaques DDoS à l’échelle mondiale.
Cela remet en lumière le problème bien connu de la révision insuffisante des permissions demandées par les applications. Il est essentiel de rappeler que les utilisateurs doivent être leurs propres meilleurs antivirus, en téléchargeant des applications uniquement depuis des sources fiables, et en évitant les dépôts ou les APK téléchargés sur Internet.
Il est clair que détecter tous les usages frauduleux ou les fonctionnalités cachées d’une application n’est pas une tâche aisée, comme le démontre l’exploitation d’un SDK dans ce cas. Soyez donc prudents et n’oubliez pas de vérifier chaque application avant de l’installer sur vos smartphones, en particulier celles provenant de magasins alternatifs.
Points à retenir
- IPIDEA a utilisé plus de 600 applications pour insérer son SDK dans les appareils.
- Des millions de smartphones transformés en nœuds de transmission de données.
- Google Play Protect a commencé à reconnaître et bloquer ces menaces.
- Il est essentiel de vérifier les permissions des applications lors de l’installation.
- Installer des applications à partir de sources fiables réduit les risques de sécurité.
Avec ces développements, je me demande : comment pouvons-nous, en tant qu’utilisateurs, mieux nous protéger contre de telles attaques furtives ? Ne devrions-nous pas exiger une transparence accrue des développeurs d’applications sur les permissions requises et le traitement des données? Ces questions méritent notre attention collective.