Namun, dalam praktiknya, proxy residensial sering disalahgunakan untuk:
- Menyembunyikan identitas pelaku kejahatan siber
- Menghindari sistem deteksi keamanan
- Melakukan scraping data skala besar
- Menjalankan serangan siber terdistribusi
Dalam kasus yang dibongkar Google, proxy residensial digunakan dengan cara menyusup ke perangkat pribadi pengguna dan menjadikannya “exit node” lalu lintas data pihak ketiga.
IPIDEA Disebut Sebagai Operator Utama
Google mengaitkan jaringan ini dengan perusahaan asal China bernama IPIDEA. Perusahaan tersebut diketahui menyediakan layanan proxy global berbasis perangkat pengguna. Masalahnya, jutaan pengguna tidak pernah menyadari bahwa perangkat mereka telah menjadi bagian dari jaringan tersebut.
SDK Tersembunyi di Balik Aplikasi Populer
Modus Operasi yang Sulit Dideteksi
Salah satu alasan utama jaringan proxy IPIDEA sulit terdeteksi adalah karena tidak menggunakan malware konvensional. Tidak ada virus, ransomware, atau trojan dalam pengertian tradisional.
Sebaliknya, IPIDEA memanfaatkan Software Development Kit (SDK) yang disisipkan ke dalam:
- Game gratis
- Aplikasi utilitas
- Tools produktivitas
- Program desktop lintas platform
SDK tersebut tampak seperti modul pendukung biasa, tetapi memiliki kemampuan tersembunyi untuk:
- Mengalihkan lalu lintas internet
- Mengizinkan pihak ketiga menggunakan koneksi pengguna
- Mengoperasikan proxy tanpa interaksi pengguna
Karena SDK ini hanya memanfaatkan izin standar Android, sistem keamanan awal tidak langsung menandainya sebagai ancaman.
Skala Penyebaran yang Masif
Google mengungkap telah menemukan:
- Lebih dari 600 aplikasi yang mengandung SDK IPIDEA
- Lebih dari 9 juta perangkat Android aktif terhubung pada puncak operasinya
- Aktivitas tersebar di berbagai negara, tidak hanya di Asia
Lonjakan lalu lintas data dari alamat IP residensial inilah yang akhirnya memicu kecurigaan tim keamanan Google.
Intervensi Google dan Langkah Hukum Federal AS
Penutupan Infrastruktur Global
Setelah mengumpulkan bukti teknis dan pola lalu lintas yang mencurigakan, Google mengambil langkah tegas dengan:
- Mengajukan permohonan ke pengadilan federal Amerika Serikat
- Menutup domain utama dan subdomain terkait
- Mematikan infrastruktur backend lintas benua
Langkah ini dilakukan secara terkoordinasi, sehingga jaringan proxy IPIDEA berhenti beroperasi secara total dalam waktu singkat.
Peran Play Protect
Sebagai tindak lanjut, Google juga memperbarui sistem Play Protect, sehingga:
- SDK IPIDEA dapat terdeteksi secara otomatis
- Aplikasi yang mengandung library tersebut diblokir
- Pengguna mendapatkan perlindungan tambahan
Namun, Google menegaskan bahwa perangkat yang menginstal aplikasi dari toko pihak ketiga atau sumber tidak resmi masih berisiko tinggi.
Dari Proxy ke Botnet: Ancaman Berlapis
Insiden Kimwolf pada 2025
Masalah tidak berhenti pada penyalahgunaan proxy. Pada tahun 2025, jaringan IPIDEA dilaporkan diretas oleh pihak lain. Infrastruktur yang sudah terbentuk kemudian dimanfaatkan untuk membangun botnet bernama Kimwolf.
