Google zerschlägt IPIDEA: Android-Botnetz mit Millionen Geräten offline

Die Google Threat Intelligence Group (GTIG) führte die mehrgleisige Operation. Sie schaltete Kontrolldomänen rechtlich ab, teilte technische Details mit Partnern und verstärkte die Android-Sicherheit. Damit reduzierte sie den verfügbaren Gerätepool für die Betreiber um Millionen.

So kaperte IPIDEA heimlich Smartphones

Das Netzwerk verwandelte Geräte ahnungsloser Nutzer in sogenannte Residential Proxies. Dazu nutzte es scheinbar harmlose Apps, oft kostenlose VPN-Dienste oder Spiele aus dem Google Play Store. Diese enthielten versteckte Software-Entwicklungskits (SDKs).

App-Entwickler erhielten Geld für die Integration dieser schädlichen SDKs. Nach der Installation wurde das Gerät ohne Zustimmung Teil des IPIDEA-Netzwerks. Die Internetverbindung der Nutzer wurde an Dritte verkauft – etwa zur Verschleierung von Cyberangriffen. Das Risiko: Die private IP-Adresse konnte für illegale Aktivitäten missbraucht werden.

Viele Android-Nutzer merken nicht, dass manipulierte Apps ihr Smartphone still und heimlich in einen Teil eines Proxy‑Netzes verwandeln können. Ein kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt, wie Residential Proxies, bösartige SDKs und Phishing-Angriffe funktionieren und welche praktischen Schutzmaßnahmen Sie sofort umsetzen sollten – etwa Play Protect aktivieren, App‑Berechtigungen prüfen und ungewöhnliche Datenflüsse erkennen. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Googles Gegenoffensive: Domains abgeschaltet, Play Protect aktualisiert

Die Gegenmaßnahmen zielten darauf ab, das Netzwerk nachhaltig zu zerstören. Ein Kernstück war die rechtliche Abschaltung der Steuerungsdomains. Das kappte die Verbindung zwischen infizierten Geräten und den Servern der Angreifer.

Parallel aktualisierte Google Play Protect, den integrierten Sicherheitsdienst von Android. Er erkennt und entfernt nun Apps mit IPIDEA-SDKs automatisch. Zukünftige Installationsversuche werden blockiert. Google teilte seine Erkenntnisse zudem mit anderen Sicherheitsfirmen wie Cloudflare, um eine breite Abwehrfront zu schaffen.

Ein Werkzeug für Hunderte Hacker-Gruppen

IPIDEA war eine kritische Infrastruktur für die globale Cyberkriminalität. Allein in einer Januarwoche 2026 nutzten über 550 verschiedene Bedrohungsgruppen die IPIDEA-Proxies. Darunter waren Akteure mit Verbindungen zu China, dem Iran, Nordkorea und Russland.

Die Bandbreite der kriminellen Aktivitäten war enorm:
* Passwort-Spraying-Angriffe
* Zugriffe auf SaaS-Umgebungen von Unternehmen
* Steuerung anderer Botnetze wie BadBox 2.0

Durch die Nutzung echter Privat-IPs verschleierten die Angreifer ihre Spuren effektiv und umgingen Sicherheitsmaßnahmen.

Der Graumarkt der Residential Proxies

Die Zerschlagung beleuchtet den wachsenden Handel mit Residential Proxies. Diese nutzen IP-Adressen von Privatpersonen, um bösartigen Datenverkehr zu tarnen. Das Geschäftsmodell basiert oft auf Täuschung durch manipulierte Apps.

Für betroffene Nutzer hat das konkrete Folgen:
* Verlangsamte Internetverbindung
* Erhöhter Datenverbrauch
* Risiko, dass die eigene IP-Adresse für Phishing oder DDoS-Angriffe genutzt und gesperrt wird

Experten sehen in Googles Aktion einen wichtigen Schritt, um die wirtschaftliche Grundlage solcher Netzwerke zu untergraben. Der Kampf gegen Proxy-Malware geht jedoch weiter. Die Betreiber werden ihre Taktiken anpassen. Für Nutzer bleibt die Empfehlung, App-Berechtigungen kritisch zu prüfen und auf die Aktivierung von Play Protect zu achten.

PS: Wenn Ihre Internetverbindung plötzlich langsamer wird oder Ihr Smartphone ungewöhnlich viel Datenverkehr verursacht, könnte es Teil eines Proxy‑Netzes sein. Dieses Gratis-E‑Book fasst die wichtigsten Abwehrstrategien für private Nutzer und Unternehmen zusammen: Checklisten, Prioritäten für Sofortmaßnahmen und Hinweise, wie Sie verdächtige Apps erkennen oder melden können. Gratis E‑Book zur Cyber‑Sicherheit sichern