Google desconecta a 9 millones de móviles 'zombis': así operaba la red china que usaba tu Android para mover datos sin que lo supieras

No siempre se descubren 9 millones de smartphones "secuestrados" por parte de una red de dudosa credibilidad, así que la noticia que TechSpot publicaba siguiendo la pista del Grupo de Análisis de Amenazas de Google es más que reseñable. Sobre todo, porque la red funcionaba desde hace varios años utilizando estos smartphones convertidos en 'zombis' destinados a retransmitir datos de forma masiva, haciéndolo además sin que los usuarios originales se enterasen en ningún momento.

Dicen los investigadores de Google que la actividad inusual se descubrió gracias a patrones de tráfico que no coincidían con las firmas típicas de un malware al uso, sino que el comportamiento se asemejaba más a un sistema complejo de retransmisión distribuida de datos con millones de teléfonos privados, ordenadores y otro tipo de dispositivos que enviaban grandes flujos de datos para otras personas de forma transparente al usuario.

Detrás de esta práctica se encontraba una empresa china, cómo no, denominada IPIDEA y que se justifica afirmando que cumplía con "fines empresariales 100% legítimos", algo que no ha importado a los investigadores de Google que consiguieron una orden judicial federal para desconectar los dominios y toda la infraestructura de la mencionada red de IPIDEA, que se queda por tanto con el dudoso honor de protagonizar la mayor eliminación de redes proxy residenciales de toda la historia, o al menos de la historia conocida.

Cómo funcionaba la red de IPIDEA: más de 600 aplicaciones "infectadas" y más de 9 millones de dispositivos "secuestrados"

Lo cierto es que técnicamente no podemos hablar de una infección informática como tal, pues en realidad no estamos ante malware ni tampoco virus. Lo que hacía IPIDEA era incrustar kits de desarrollo de software en cientos de aplicaciones aparentemente inofensivas, programas además de tipo extremadamente común. Se habla de unas 600 aplicaciones o más que contendrían el SDK de IPIDEA, por lo que el problema era realmente mayúsculo.

Una vez incrustado este SDK en juegos gratuitos, herramientas sencillas o apps de productividad y business, los dispositivos se convertían en una especie de 'zombis' a la espera de instrucciones, pudiendo ser utilizados en cualquier momento como nodos de salida para enviar el tráfico hacia Internet de otras personas.

Así se ocultaba la identidad de la persona que enviaba el tráfico, cubriendo flujos de datos de volúmenes elevados gracias a más de 9 millones de smartphones Android que habían instalado software de IPIDEA a nivel global.

Según ha trascendido, el escáner de seguridad de Google Play Protect puede ya reconocer y bloquear estas librerías, aunque obviamente sólo lo hace para las apps disponibles en Play Store y no en los repositorios o tiendas alternativas. Además, remarcan los expertos lo complicado de detectar este tipo de redes ya que sus operaciones explotan permisos ya integrados en Android que a priori no serían "maliciosos".

El funcionamiento era sencillo: una vez instalada una app con el SDK de IPIDEA, el dispositivo ya podía utilizarse como "nodo de salida" para enmascarar la transmisión de grandes volúmenes de datos, además siempre de forma transparente al usuario original del móvil Android

Sólo un gran caudal de tráfico saliente a través de direcciones IP residenciales que eran totalmente ordinarias y que no deberían cursar normalmente elevados volúmenes, hizo sospechar a los investigadores, que ahora confirman además que la red de IPIDEA fue ya comprometida en 2025 por una banda de hackers que aprovechando una vulnerabilidad en el sistema tomaron el control de toda la infraestructura para orquestar ataques DDoS por todo el planeta.

Estamos ante el mismo problema habitual de la falta de revisión de los permisos requeridos para los programas y juegos que instalamos, así que nos toca volver a comentar que vosotros sois siempre vuestros mejores antivirus y que lo ideal es descargar apps o juegos desde tiendas confiables, evitando repositorios o APKs descargados de Internet.

¡Ya veis que no es nada fácil detectar todos los usos fraudulentos o funcionalidades ocultas de una app, como en este caso la explotación basada en un SDK, así que tened cuidado y revisad siempre lo que vais a instalar en vuestros móviles, sobre todo desde tiendas alternativas!