Une entreprise chinoise a récemment été démasquée pour avoir contrôlé plus de 9 millions de téléphones Android afin de transférer massivement des données sans que les utilisateurs en aient connaissance. L’opération, qui a duré plusieurs années, a été révélée grâce à des investigations approfondies de la part de Google.
Google a démantelé un réseau proxy d’origine chinoise qui avait pris le contrôle de plus de 9 millions de mobiles Android pendant des années, utilisant ces derniers pour transmettre en masse des données au nom d’autres utilisateurs.
Il est rare de découvrir 9 millions de smartphones « séquestrés » par une organisation de crédibilité douteuse, d’où l’importance de l’annonce faite par TechSpot, qui a suivi l’enquête du Groupe d’analyse des menaces de Google. La révélation majeure est que ce réseau a fonctionné pendant plusieurs années en utilisant des smartphones transformés en ‘zombis’, chargés de transmettre des données à grande échelle, et ce, sans que les utilisateurs aient jamais été au courant.
Les chercheurs de Google ont détecté cette activité inhabituelle grâce à des schémas de trafic non conformes aux signatures habituelles d’un malware, alors que le comportement observé ressemblait davantage à un système complexe de retransmission distribuée de données impliquant des millions de téléphones, ordinateurs et autres dispositifs qui envoyaient d’importants flux de données pour le compte d’autres utilisateurs de manière invisible.
Cette activité était orchestrée par une société chinoise nommée IPIDEA, qui a tenté de justifier ses pratiques en affirmant qu’elles avaient pour but des « fins commerciales 100% légitimes ». Cependant, cette déclaration n’a pas empêché Google de se procurer une ordonnance judiciaire fédérale pour déconnecter les domaines et l’infrastructure de cette organisation, lui conférant le triste titre de la plus grande suppression de réseaux proxy résidentiels de l’histoire.
Comment fonctionnait le réseau IPIDEA : plus de 600 applications « infectées » et plus de 9 millions de dispositifs « séquestrés »
En réalité, il ne s’agissait pas d’une infection informatique au sens traditionnel, puisque IPIDEA n’emploie ni malware, ni virus. La méthode consistait à intégrer des kits de développement de logiciels dans des centaines d’applications apparemment inoffensives et très répandues. On parle d’environ 600 applications ayant contenu le SDK de IPIDEA, ce qui représentait un problème sérieux.
Une fois ce SDK intégré dans des jeux gratuits, des outils simples ou encore des applications de productivité et business, les dispositifs se transformaient en sortes de ‘zombis’ prêts à recevoir des instructions, pouvant ainsi servir de nœuds de sortie pour transmettre le trafic vers Internet d’autres utilisateurs.
Cette technique permettait de masquer l’identité des personnes qui généraient le trafic, cachant des flux de données importants grâce à plus de 9 millions de smartphones Android à travers le monde ayant installé le logiciel de IPIDEA.
Apparemment, le scanner de sécurité de Google Play Protect peut désormais identifier et bloquer ces bibliothèques, mais seulement pour les applications disponibles sur le Play Store et pas sur d’autres dépôts ou boutiques alternatives. De plus, les experts soulignent la complexité de la détection de ce type de réseau, car leurs opérations se servent des autorisations déjà intégrées à Android qui, à première vue, ne semblent pas « malveillantes ».
Le fonctionnement était simple : une fois l’application contenant le SDK de IPIDEA installée, le dispositif pouvait être utilisé comme un « nœud de sortie » pour masquer la transmission de données importantes, et ce, de manière transparente pour l’utilisateur d’origine du mobile Android.
Un important volume de trafic sortant à travers des adresses IP résidentielles qui ne devraient pas normalement traiter des quantités si élevées a alerté les enquêteurs. Ces derniers confirment également que le réseau de IPIDEA a déjà été compromis en 2025 par un groupe de hackers qui, exploitant une vulnérabilité du système, ont pris le contrôle total de l’infrastructure pour orchestrer des attaques DDoS à l’échelle mondiale.
Nous retrouvons là le problème habituel de la manque de vérification des autorisations nécessaires pour les applications et jeux que nous installons. Il est donc impératif de rappeler que vous êtes vos propres meilleurs antivirus et qu’il est conseillé de télécharger des applications ou jeux depuis des boutiques fiables, en évitant les dépôts ou APKs provenant d’Internet.
Il est difficile de déceler tous les usages frauduleux ou fonctions cachées d’une application, comme cela a été illustré avec l’exploitation d’un SDK. Donc, restez vigilants et contrôlez toujours ce que vous téléchargez sur vos mobiles, surtout depuis des stores alternatifs !