Google zerschlägt globales Botnetz IPIDEA

Google hat eines der weltweit größten kriminellen Proxy-Netzwerke lahmgelegt. Die Operation schränkt die Kontrolle über Millionen gekaperter Geräte ein.

Die Google Threat Intelligence Group (GTIG) gab diese Woche die Zerschlagung von IPIDEA bekannt. Dieses „residential Proxy“-Netzwerk wurde von Cyberkriminellen und staatlichen Akteuren für Spionage, Datendiebstahl und die Steuerung anderer Botnetze genutzt. Durch rechtliche und technische Schritte konnte Google die Infrastruktur der Betreiber erheblich beschädigen. Die Aktion macht es Angreifern deutlich schwerer, ihre Spuren zu verwischen.

So kaperte IPIDEA Millionen Geräte

Das Netzwerk integrierte heimlich Android-Smartphones, Computer und Smart-TVs. Zwei Methoden waren zentral: Zum einen bot IPIDEA Entwicklern bezahlte Software Development Kits (SDKs) an. Diese wurden in scheinbar harmlose Apps wie Spiele oder VPN-Dienste eingebettet. Im Hintergrund fügten sie die Geräte der Nutzer dem Botnetz hinzu.

Zum zweiten lockte IPIDEA mit eigenständigen Apps, die „leicht verdientes Geld“ für das Teilen „ungenutzter Bandbreite“ versprachen. In beiden Fällen wurden die Geräte zu Exit Nodes – Austrittspunkten, über die Dritte ihren Internetverkehr leiten konnten. Google identifizierte über 600 Android-Apps und 3.000 Windows-Dateien, die mit IPIDEA in Verbindung standen.

Millionen kompromittierter Geräte und hunderte Angreifergruppen zeigen: Viele Unternehmen und Privatnutzer sind für solche Angriffe nicht ausreichend gerüstet. Ein kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen, wie kompromittierte Endpunkte erkannt werden, welche technischen Kontrollen sofort helfen und welche organisatorischen Schritte IT‑Verantwortliche jetzt umsetzen sollten. Mit Checklisten für Sofortmaßnahmen und verständlichen Empfehlungen. Jetzt kostenloses Cyber‑Security E‑Book sichern

Ein global genutztes Werkzeug für Cyberangriffe

Die Bedrohung war massiv: Allein in einer Woche im Januar 2026 nutzten über 550 verschiedene Angreifergruppen das Netzwerk. Darunter waren Akteure aus China, Nordkorea, Iran und Russland. Ihre Aktivitäten reichten von Spionage bis zu Passwort-Angriffen auf Cloud-Dienste und Firmennetzwerke.

IPIDEA diente sogar als Basis für andere berüchtigte Botnetze wie „BadBox2.0“ oder „Kimwolf“. Letzteres galt als eines der leistungsstärksten je beobachteten Botnetze. Hinter mindestens 13 verschiedenen Proxy-Marken wie „360 Proxy“ oder „Luna Proxy“ verbarg sich stets dieselbe zentrale Kontrolle durch IPIDEA.

Googles kombinierter Schlag: Rechtlich und technisch

Der Konzern verfolgte einen mehrgleisigen Ansatz. Zunächst beschlagnahmte Google rechtlich die Kontroll-Domains der Betreiber, was deren operative Fähigkeit lähmte. Parallel wurden technische Schutzmaßnahmen für Android-Nutzer aktiviert.

Google Play Protect wurde aktualisiert, um automatisch vor Apps mit IPIDEA-Code zu warnen. Auf zertifizierten Geräten werden diese Anwendungen nun entfernt und neue Installationen blockiert. Google teilte seine Erkenntnisse zudem mit Partnern wie Cloudflare und Strafverfolgungsbehörden, um eine breite Abwehrfront zu bilden.

Der anhaltende Kampf gegen anonymisierte Angriffe

Die Zerschlagung zeigt die wachsende Gefahr durch „residential proxy“-Dienste. Sie missbrauchen die IP-Adressen ahnungsloser Privatnutzer für maximale Anonymität. Googles Vorgehen signalisiert, dass Tech-Konzerne zunehmend die zugrundeliegende kriminelle Infrastruktur angreifen, nicht nur Einzelangriffe abwehren.

Der Wettlauf zwischen Sicherheitsexperten und Netzwerk-Betreibern geht weiter. Für Nutzer ist Vorsicht geboten: Apps sollten nur aus vertrauenswürdigen Quellen stammen. Besonders skeptisch sollte man bei Angeboten sein, die Geld für das Teilen der Internetbandbreite versprechen – ein klassisches Rekrutierungsmuster für solche Botnetze.

PS: Wenn Sie sich gegen Missbrauch Ihrer Geräte schützen wollen, hilft unser kompakter Leitfaden weiter. Er zeigt, wie Sie verdächtige Apps erkennen, einfache Hardening‑Maßnahmen durchführen und welche Kontrollen kleine IT‑Teams sofort einführen können, um lateral movement und Exit‑Node‑Missbrauch zu verhindern. Praktische Tipps für Administratoren und Technik‑interessierte. Kostenfreies Cyber‑Security‑Leitfaden herunterladen