Google triệt phá mạng proxy dân dụng lớn nhất lịch sử

Nhóm Phân tích Mối đe dọa của Google vừa phát hiện một hoạt động mạng bất thường đang diễn ra trên hàng triệu thiết bị kết nối internet.

Theo ghi nhận từ Google, hàng triệu điện thoại, máy tính và thiết bị nhà thông minh đã âm thầm chuyển dữ liệu cho một bên thứ ba, được xác định là công ty Trung Quốc IPIDEA.

Phát hiện này đã dẫn đến một cuộc triệt phá mà Google mô tả là “mạng lưới proxy dân dụng lớn nhất trong lịch sử”. Dựa trên lệnh của tòa án liên bang, Google đã ngừng hoạt động của các tên miền web và cơ sở hạ tầng máy chủ hỗ trợ cho mạng lưới này.

Chiêu trò của IPIDEA có vẻ đơn giản: nhúng bộ công cụ phát triển phần mềm (SDK) vào hàng trăm ứng dụng và chương trình máy tính, từ các trò chơi miễn phí đến phần mềm tăng năng suất. Sau khi được cài đặt, các SDK này đã biến thiết bị của người dùng thành “điểm thoát” cho lưu lượng truy cập internet của bên khác. Google ước tính rằng vào thời điểm đỉnh cao, hệ thống này đã phủ sóng hơn 9 triệu điện thoại Android trên toàn cầu.

IPIDEA đã khẳng định với tờ Wall Street Journal rằng mạng lưới của họ phục vụ “các mục đích kinh doanh hợp pháp”. Tuy nhiên, cuộc điều tra của Google đã chỉ ra rằng các hệ thống này có thể nhanh chóng bị lợi dụng. Họ phát hiện hơn 600 ứng dụng khác nhau sử dụng các phiên bản SDK của IPIDEA có khả năng hoạt động như máy chủ proxy. Mặc dù Google Play Protect đã có khả năng nhận diện và chặn các thư viện này, nhưng các ứng dụng từ các cửa hàng bên thứ ba vẫn dễ bị tấn công.

Điều đặc biệt khiến mạng lưới này khó phát hiện là nó không dựa vào phần mềm độc hại theo nghĩa truyền thống. Thay vào đó, nó khai thác các quyền đã được tích hợp sẵn trong kiến trúc của Android, khiến việc phát hiện trở nên khó khăn cho đến khi các nhà nghiên cứu của Google nhận thấy lượng lớn lưu lượng truy cập từ các địa chỉ IP dân dụng thông thường.

Trước khi Google can thiệp, mạng lưới IPIDEA cũng đã bị xâm phạm. Vào năm 2025, tin tặc đã khai thác một lỗ hổng trong hệ thống, biến hàng triệu thiết bị thành một mạng botnet có tên Kimwolf, trở thành mục tiêu cho các cuộc tấn công DDoS. Mặc dù IPIDEA thừa nhận rằng nền tảng của họ đã bị “lạm dụng”, nhưng công ty vẫn không tuân thủ lệnh của tòa án Google về việc ngừng hoạt động.

Cuộc triệt phá này làm nổi bật một vấn đề nan giải trong bảo mật di động: làm thế nào để phân biệt giữa hành vi độc hại và các hoạt động mạng hợp pháp? Trình theo dõi phân tích và mạng quảng cáo SDK proxy đều phụ thuộc vào luồng dữ liệu giữa các nhà phát triển và bên thứ ba, tạo ra một vùng xám khó phân biệt giữa định tuyến dữ liệu thông thường và khai thác trái phép.

Đối với người dùng, lời khuyên tiếp tục được đưa ra: tránh tải xuống các ứng dụng miễn phí hoặc bẻ khóa từ các nguồn không đáng tin cậy có thể khiến thiết bị bị xâm nhập. Hệ thống phòng vệ tích hợp của Android có thể phát hiện nhiều mã độc, nhưng việc khai thác dựa trên SDK thường lọt qua vì không phù hợp với hồ sơ phần mềm độc hại thông thường.