Google'ın Tehdit Analizi Grubu, milyonlarca internete bağlı cihazda olağandışı ağ etkinliğinin yayıldığını ortaya çıkardığında, bir şeyler ters gitti. Trafik modelleri tipik kötü amaçlı yazılım imzalarıyla eşleşmiyordu. Bunun yerine, buldukları şey daha çok devasa bir dağıtılmış aktarım sistemine benziyordu: milyonlarca özel telefon, bilgisayar ve akıllı ev cihazı, sessizce başkası için veri taşıyordu. Google'ın şimdi söylediğine göre, bu kişi IPIDEA adlı bir Çin şirketiydi.
Bu keşif, Google'ın tarihteki en büyük konut proxy ağı çökertmesi olarak adlandırdığı olayı tetikledi . Federal mahkeme kararıyla desteklenen şirket, tüm operasyonu bir arada tutan web alan adlarını ve arka uç altyapısını devre dışı bıraktı. Tek bir koordineli hamleyle Google, yıllarca sorunsuz bir şekilde çalışan ve istismar ettiği cihaz sahipleri için büyük ölçüde görünmez olan bir ağı ortadan kaldırdı.
IPIDEA'nın stratejisi aldatıcı derecede basitti: yüzlerce zararsız görünümlü uygulama ve masaüstü programına (ücretsiz oyunlar, yardımcı araçlar, verimlilik artırıcılar, insanların iki kere düşünmeden indirdiği türden yazılımlar) yazılım geliştirme kitleri (SDK'lar) yerleştirmek. Bu SDK'lar yüklendikten sonra, kullanıcıların cihazlarını sessizce başkasının internet trafiği için "çıkış noktalarına" dönüştürüyorlardı.
Bu tür bir proxy, dijital bir röle gibi çalışır: bir kaynaktan gelen veri istekleri, orijinal gönderenin kimliğini gizleyerek başka bir kaynak üzerinden iletilir. Meşru proxy hizmetleri gizlilik araçlarını veya kurumsal testleri desteklerken, IPIDEA çerçevesi, yüksek hacimli veri akışları için kişisel cihazları kılıf olarak kullandı. Google'ın tahminlerine göre, sistem en yoğun döneminde dünya çapında 9 milyondan fazla Android telefonu kapsıyordu.
IPIDEA, Wall Street Journal'a ağının "meşru ticari amaçlara" hizmet ettiğini söyledi . Ancak Google'ın soruşturması, bu sistemlerin ne kadar hızlı bir şekilde istismara dönüşebileceğine dair farklı bir tablo çiziyor. Şirket, proxy işlevine sahip IPIDEA SDK sürümlerini taşıyan 600'den fazla farklı uygulama buldu.
Google Play'in yerleşik güvenlik tarayıcısı olan Play Protect artık bu kütüphaneleri tanıyıp engelleyebiliyor, ancak üçüncü taraf mağazalardan yüklenen uygulamalar hala savunmasız durumda.
Bu ağı özellikle tehlikeli kılan şey, teknik olarak, en azından geleneksel anlamda, kötü amaçlı yazılımlara dayanmamasıydı. Android'in mimarisine zaten yerleştirilmiş olan izinleri istismar ediyordu. Bu da tespit edilmesini zorlaştırıyordu... ta ki Google araştırmacıları sıradan konut IP adreslerinden geçen giden trafiğin muazzam hacmini fark edene kadar.
Google'ın müdahalesinden önce bile IPIDEA ağı tehlikeye girmişti. 2025 yılında saldırganlar sistemdeki bir güvenlik açığından yararlanarak altyapının kontrolünü ele geçirdi ve milyonlarca cihazı Kimwolf adlı bir botnet'e dahil etti. Ele geçirilen bu ağ, DDoS saldırıları için bir vektör haline geldi.
IPIDEA, suçluların platformunu "kötüye kullandığını" kabul etse de, Google'ın hizmetlerini kapatma yönündeki mahkeme emrine uymadı. Kıtalararası IP adresleri üzerinden trafiği koordine etmek için kullanılan ağın arka uç altyapısı artık çevrimdışı durumda.
Google'ın bu hamlesi, mobil güvenlikte gizlenen daha karmaşık bir sorunu vurguluyor: Kötü amaçlı davranışları meşru ağ işlemlerinden nasıl ayırabilirsiniz? Proxy SDK'ları, analiz izleyicileri, reklam ağları – bunların hepsi geliştiriciler ve üçüncü taraflar arasında paylaşılan veri akışlarına bağlıdır. Bu gri alan, normal veri yönlendirmesinin nerede bittiğini ve yetkisiz istismarın nerede başladığını ayırt etmeyi zorlaştırıyor.
Kullanıcılar için çıkarılacak ders, her geçen gün daha da acil hale gelen eski bir tavsiye: Şüpheli kaynaklardan ücretsiz veya korsan uygulamalar indirmek, cihazınızın başkasının ağına düşüp düşmeyeceği konusunda kumar oynamak gibidir. Android'in yerleşik savunmaları birçok kötü amaçlı kodu yakalayabilir, ancak SDK tabanlı istismar genellikle klasik kötü amaçlı yazılım profiline uymadığı için aradan sıyrılır.
Kaynak :
https://www.techspot.com/news/111143-go ... llion.html
