Google mới đây đã phát hiện một hoạt động mạng bất thường lan rộng trên hàng triệu thiết bị kết nối Internet. Các mô hình lưu lượng truy cập không khớp với dấu hiệu phần mềm độc hại thông thường, mà thay vào đó, trông giống như một hệ thống chuyển tiếp phân tán quy mô lớn, trong đó hàng triệu điện thoại, máy tính và thiết bị nhà thông minh đang âm thầm chuyển tiếp dữ liệu cho một bên khác. Phía sau mạng lưới này là IPIDEA, một công ty Trung Quốc, đã bị Google triệt phá trong một vụ triệt phá mạng proxy dân dụng lớn nhất trong lịch sử.

Chiêu Trò Của IPIDEA: Proxy Dân Dụng

Chiêu trò của IPIDEA khá đơn giản nhưng tinh vi: công ty này nhúng một bộ công cụ phát triển phần mềm (SDK) vào hàng trăm ứng dụng và phần mềm máy tính bàn trông có vẻ vô hại như các trò chơi miễn phí, công cụ tiện ích và phần mềm tăng năng suất. Sau khi các SDK này được cài đặt, chúng âm thầm biến các thiết bị cá nhân của người dùng thành "điểm thoát" cho lưu lượng truy cập internet của một bên thứ ba. Những thiết bị này hoạt động như các máy chủ proxy – chuyển tiếp các yêu cầu dữ liệu từ một nguồn này qua một nguồn khác, che giấu danh tính của người gửi ban đầu.

Quy Mô Mạng Lưới

Vào thời điểm đỉnh cao, Google ước tính rằng hệ thống này đã lây lan sang hơn 9 triệu điện thoại Android trên toàn cầu. Mặc dù các dịch vụ proxy hợp pháp được sử dụng cho các mục đích bảo mật hoặc kiểm thử cấp doanh nghiệp, IPIDEA đã lợi dụng những thiết bị cá nhân không hề hay biết để che giấu các luồng dữ liệu dung lượng lớn. Các ứng dụng chứa SDK này có thể đến từ Google Play, nhưng các ứng dụng tải từ cửa hàng bên thứ ba vẫn dễ dàng bị tấn công.

Vấn Đề Về Phát Hiện

Điều khiến mạng lưới này đặc biệt khó phát hiện là nó không sử dụng phần mềm độc hại theo cách truyền thống. Thay vào đó, IPIDEA khai thác các quyền được tích hợp sẵn trong kiến trúc của Android. Điều này làm cho việc phát hiện ra chúng trở nên khó khăn hơn, bởi chúng không tạo ra dấu vết rõ ràng. Chỉ khi các nhà nghiên cứu của Google phát hiện một lượng lớn lưu lượng truy cập từ các địa chỉ IP dân dụng thông thường, họ mới có thể nhận diện được mối đe dọa. Tình hình trở nên nghiêm trọng hơn vào năm 2025, khi tin tặc khai thác một lỗ hổng trong hệ thống của IPIDEA và chiếm quyền kiểm soát cơ sở hạ tầng, biến hàng triệu thiết bị thành một mạng botnet có tên Kimwolf – mục tiêu của các cuộc tấn công DDoS.

IPIDEA Phản Hồi

Mặc dù IPIDEA thừa nhận rằng nền tảng của họ đã bị "lạm dụng" bởi các đối tượng tội phạm, công ty này đã không tuân thủ yêu cầu của tòa án Google để ngừng hoạt động mạng lưới của mình. Hệ thống cơ sở hạ tầng chịu trách nhiệm điều phối lưu lượng truy cập qua các địa chỉ IP toàn cầu đã bị ngừng hoạt động sau khi Google can thiệp.

Thách Thức Trong Bảo Mật Di Động

Vụ việc này nổi bật lên một vấn đề lớn trong bảo mật di động: làm thế nào để phân biệt giữa hành vi độc hại và các hoạt động mạng hợp pháp? SDK proxy, trình theo dõi phân tích và mạng quảng cáo đều dựa vào việc chia sẻ dữ liệu giữa nhà phát triển và bên thứ ba, điều này khiến việc phân biệt giữa dữ liệu hợp pháp và khai thác trái phép trở nên mờ nhạt. Mặc dù hệ thống bảo vệ tích hợp của Android có thể phát hiện và ngăn chặn phần mềm độc hại, nhưng các lỗ hổng khai thác dựa trên SDK thường khó bị phát hiện vì chúng không phù hợp với các dấu hiệu phần mềm độc hại truyền thống.

Lời Khuyên Cho Người Dùng

Điều quan trọng là người dùng phải cẩn trọng khi tải xuống các ứng dụng miễn phí hoặc cài đặt phần mềm từ các nguồn không đáng tin cậy. Mặc dù Google Play có hệ thống bảo vệ Play Protect để phát hiện mã độc, các ứng dụng tải về từ các cửa hàng bên thứ ba vẫn có thể mang mối nguy hiểm. Lời khuyên cuối cùng là: luôn kiểm tra kỹ lưỡng các ứng dụng bạn tải về và tuyệt đối không bẻ khóa thiết bị hoặc cài đặt phần mềm từ nguồn không rõ ràng để tránh những rủi ro về bảo mật.