Google Démantèle un Réseau Proxy Massif Ayant Transformé 9 Millions de Smartphones Android en Relais de Données

Infrastructure et Mode Opératoire d'IPIDEA

IPIDEA opérait via un système C2 à deux niveaux : 600+ applications Android trojanisées (SDK IPIDEA intégrés) et 3 075 binaires Windows déguisés en logiciels légitimes transformaient silencieusement les devices consommateurs en nœuds de sortie proxy résidentiel.

Ce trafic masqué facilitait DDoS record (botnets Aisuru/Kimwolf), vol de credentials, fraudes financières et espionnage étatique, rendant les attaques intraçables via IPs domestiques authentiques.

Actions Techniques de Google

Le 28 janvier 2026, Google a saisi les domaines C2 contrôlant les devices infectés et les sites marketing proxy (13 marques affiliées) ; Google Play Protect déploie protections automatiques supprimant apps IPIDEA et bloquant réinstallations sur 2 milliards d'Android certifiés. Collaboration Cloudflare pour couper serveurs proxy ; millions de devices libérés instantanément.

Impacts sur l'Écosystème Cybercriminalité

550+ threat actors (APT, ransomware, botnets) perdent accès infrastructure critique ; IPIDEA monétisait revente IPs résidentielles à acteurs cyber ; disruption propagée via accords revendeurs affecte écosystème proxy entier.

Google anticipe tentatives récupération ; monitoring continu Play Protect/Safe Browsing.

Recommandations Utilisateurs/Entreprises

Vérifiez/réinstallez apps suspectes via Play Protect (Paramètres > Sécurité > Play Protect) ; auditez trafic sortant ports proxy (8080, 3128) ; entreprises déploient EDR détectant SDK IPIDEA ; mise à jour Chrome pour blocage C2 résiduel.