Google zerschlägt weltgrößtes Schattennetzwerk IPIDEA

In einer großangelegten Cyber-Aktion hat Google das globale Proxy-Netzwerk IPIDEA zerschlagen. Die Plattform versorgte Kriminelle und staatliche Hacker mit Tarn-Identitäten für Angriffe.

Der Konzern ging mit rechtlichen und technischen Mitteln gegen eines der größten Residential-Proxy-Netzwerke vor. Solche Dienste leiten Angreifer-Verkehr über ahnungslose Privatgeräte – von Smartphones bis TV-Boxen. Das tarnt die Herkunft und macht Kriminelle im Netz unsichtbar.

Millionen Geräte als unfreiwillige Komplizen

IPIDEA baute sein Schattennetz durch raffinierte Täuschung auf. Die Betreiber lockten App-Entwickler mit bezahlten Software-Bausteinen (SDKs). Diese wurden in harmlos wirkende Apps und Spiele eingebaut. Installierte ein Nutzer eine solche App, wurde sein Gerät heimlich in das Proxy-Netz eingegliedert.

Passend zum Thema Cyberangriffe: Viele Unternehmen und Privatnutzer unterschätzen, wie Angreifer Geräte heimlich zu Proxy‑Netzen machen und so ihre Attacken verschleiern. Der kostenlose Cyber‑Security‑Report erklärt aktuelle Angriffsstrategien (maliziöse SDKs in Apps, vorinstallierte Malware in TV‑Boxen) und liefert praxisnahe Checklisten zur Erkennung kompromittierter Geräte sowie sofort umsetzbare Schutzmaßnahmen für IT‑Teams und Endnutzer — inklusive Leitfaden zur Zusammenarbeit mit Providern und Anleitungen für Play‑Protect‑Einstellungen. Gratis‑Cyber‑Security‑Report herunterladen

Besonders dreist: Billige Android-TV-Boxen lieferten die Schadsoftware schon vorinstalliert aus. So entstand ein globales Netzwerk mit schätzungsweise 8,5 bis 11 Millionen täglich aktiven Geräten. Die Bandbreite der ahnungslosen Nutzer wurde an Dritte verkauft – inklusive Hunderter Cyberkrimineller und staatlicher Akteure.

Botnetze verlieren ihre Basis

Das Netzwerk war Lebensader für berüchtigte Botnetze wie Kimwolf, Aisuru und BadBox 2.0. Kompromittierte Geräte leiteten Angriffsbefehle weiter, starteten DDoS-Attacken oder knackten Passwörter für Unternehmen und Behörden.

Googles Gegenoffensive traf diese Infrastruktur an mehreren Stellen gleichzeitig. Das Threat Intelligence Team (GTIG) ließ Dutzende Steuerungs-Domains beschlagnahmen. Partner wie Cloudflare und Lumen blockierten die technischen Verbindungen. Die Maßnahmen reduzierten die verfügbaren Proxy-Geräte um Millionen.

App-Warnungen und globale Zusammenarbeit

Für direkten Nutzerschutz aktivierte Google sein Play Protect-System auf Android-Geräten. Es warnt jetzt vor Apps mit IPIDEA-Code, entfernt sie und blockiert Neuinstallationen. Die technischen Erkenntnisse teilte der Konzern mit Strafverfolgungsbehörden und Sicherheitsfirmen weltweit.

Die Wirkung ist spürbar: Analysen deuten auf einen Kapazitätsverlust von bis zu 40 Prozent beim IPIDEA-Netz hin. In nur einer Januarwoche 2026 nutzten über 550 verschiedene Bedrohungsgruppen den Dienst – darunter mutmaßlich staatliche Akteure aus Russland, China, Iran und Nordkorea.

Ein Sieg mit Verfallsdatum

Die Zerschlagung zeigt einen strategischen Wandel: Statt nur Einzeltäter zu jagen, attackieren Sicherheitsbehörden zunehmend die geteilte Infrastruktur der Cyberkriminalität. Doch der Kampf ist nicht gewonnen.

Die Betreiber solcher Netzwerke agieren hinter einem Geflecht aus Scheinfirmen und Marken wie 922 Proxy oder Radish VPN. Sie werden versuchen, ihr Geschäftsmodell neu aufzubauen. Sicherheitsexperten setzen daher auf anhaltende Zusammenarbeit zwischen Tech-Konzernen, Forschern und Ermittlern – und auf aufgeklärtere Nutzer, die versteckte Kosten „kostenloser“ Apps erkennen.

PS: Sie möchten Ihr Netzwerk und Ihre Android-Geräte effektiv schützen? Der kostenlose Leitfaden zeigt praxisnahe Maßnahmen — von Monitoring‑Checks über App‑Whitelisting bis zur schnellen Isolation infizierter Geräte. Er erklärt, wie Sie Play Protect sinnvoll nutzen, kompromittierte Apps erkennen und Ihre IT‑Abläufe für Incident Response vorbereiten. Ideal für IT‑Leiter, Admins und sicherheitsbewusste Anwender. Jetzt kostenlosen Cyber‑Schutz‑Guide anfordern