Prima di procedere
Un'operazione congiunta tra Google e le autorità statunitensi ha portato allo smantellamento di una vasta rete proxy residenziale che operava silente su milioni di dispositivi Android in tutto il mondo. La rete, gestita dalla società cinese Ipidea, trasformava gli smartphone degli utenti in nodi di instradamento del traffico internet, consentendo a terzi di mascherare la propria identità e compiere attività potenzialmente illecite. L'intervento, autorizzato da un'ordinanza di un tribunale federale degli Stati Uniti, ha portato alla chiusura di decine di siti web e sistemi backend collegati a Ipidea, ritenuta responsabile della gestione di quella che viene definita come la più grande rete di proxy residenziali a livello globale.
Il meccanismo era semplice quanto insidioso: app gratuite, giochi o software desktop apparentemente innocui, una volta installati sui dispositivi Android, integravano un SDK proxy nascosto. Questo trasformava il dispositivo in un "exit node" per la rete Ipidea, consentendo a soggetti esterni di utilizzare l'indirizzo IP dell'utente per instradare il proprio traffico internet. In questo modo, le attività online di terzi apparivano come provenienti dal dispositivo dell'utente, rendendo difficile risalire alla vera origine del traffico.
Le conseguenze di questa pratica sono potenzialmente gravi. La rete proxy poteva essere sfruttata per aggirare controlli di sicurezza, nascondere comportamenti sospetti, compiere frodi online o diffondere contenuti illeciti. Inoltre, il software malevolo poteva esporre anche altri dispositivi collegati alla stessa rete domestica dell'utente compromesso.
Google ha reagito prontamente per proteggere i propri utenti. Il sistema di sicurezza Play Protect ha iniziato a segnalare automaticamente le app infette, rimuovendole dai dispositivi e bloccando nuove installazioni. L'azienda ha inoltre eliminato centinaia di app collegate all'ecosistema Ipidea e stima che circa nove milioni di dispositivi Android siano stati disconnessi dalla rete.
L'analisi del team Threat Intelligence di Google ha rivelato che Ipidea operava attraverso una rete complessa di marchi di proxy e VPN apparentemente indipendenti, ma tutti collegati alla stessa infrastruttura tecnica. Questi sistemi, dotati di meccanismi di comando e controllo a più livelli, gestivano l'accesso e il routing del traffico sui dispositivi compromessi.
La portata del fenomeno è emersa chiaramente dai dati raccolti da Google: in una sola settimana di monitoraggio, sono stati individuati oltre 550 gruppi di minaccia che utilizzavano IP collegati alla rete Ipidea per attività legate a cybercrime, intrusioni e campagne automatizzate. Già nel corso del 2025, una vulnerabilità legata a dispositivi connessi a Ipidea era stata sfruttata per dirottare almeno due milioni di sistemi, trasformandoli nella botnet "Kimwolf", utilizzata per attacchi DDoS su larga scala e descritta dai ricercatori come una delle più potenti mai osservate.
Google ha collaborato attivamente con partner esterni per interrompere domini e servizi di comando e controllo, rendendo inefficace una parte consistente dell'infrastruttura di Ipidea. Quest'ultima, dal canto suo, ha dichiarato di opporsi a qualsiasi attività illegale e di offrire servizi destinati a usi aziendali legittimi, ammettendo però di aver utilizzato in passato tattiche di marketing aggressive poi abbandonate. L'operazione di Google rappresenta un importante successo nella lotta contro le reti proxy residenziali illecite e un monito per gli utenti Android, che devono prestare attenzione alle app che installano sui propri dispositivi e attivare le protezioni offerte da Play Protect.
