哈希游戏- 哈希游戏平台- 哈希游戏官方网站

　　Google表示，本次行动围绕三项措施展开：一是通过法律手段拆除用于控制受感染设备和中转代理流量的指挥与控制（C2）域名；二是将调查过程中发现的 IPIDEA 软件开发工具包（SDK）及代理软件的技术情报共享给平台服务商、执法机构和安全研究机构，以推动整个生态内的识别和清理；三是强化 Android 平台防护，确保 Google Play Protect 能自动警示并卸载已知集成 IPIDEA SDK 的应用，并阻止此类应用的未来安装尝试。

　　所谓住宅代理网络，是指向客户出售通过普通家庭或小型企业宽带出口转发流量的服务，其 IP 地址由各国运营商分配给终端用户，而非传统数据中心机房。 通过在全球范围内控制并“出租”大量居民宽带出口，攻击者可以将恶意活动伪装成普通用户行为，给网络防御带来极大困难，尤其是来自美国、加拿大和欧洲等地区的住宅 IP 更为抢手。 为构建这样一张网络，运营方需要在海量用户设备上运行特定代码，使其悄然加入代理网络，成为所谓“出口节点”。

　　Google威胁情报团队的研究显示，IPIDEA 相关代理服务在现实中被广泛滥用，其 SDK 曾为多种僵尸网络扩容设备，其代理软件又被不法分子用于远程控制这些僵尸网络。 Google称，此前他们已对 BadBox2.0 僵尸网络提起诉讼，而近期活动活跃的 Aisuru、Kimwolf 等僵尸网络同样大量利用 IPIDEA 生态。 在 2026 年 1 月短短七天内，Google共观察到超过 550 个威胁团伙使用被标记为 IPIDEA 出口节点的 IP 地址隐匿行动，其中包括来自中国、朝鲜、伊朗和俄罗斯的间谍和犯罪组织，其活动涉及访问受害者的 SaaS 环境、本地基础设施以及大规模密码喷射攻击等。

　　研究还发现，大量住宅代理出口节点的 IP 存在显著重叠，推测是由于代理服务之间的转售和合作协议，使得对单一品牌的打击难以简单按品牌边界精确量化和归因。 此外，住宅代理不仅威胁组织安全，也给普通用户带来风险：一旦设备加入此类网络，其 IP 地址及本地网络将被用作黑客活动的跳板，用户可能因异常流量而被各类服务标记或封禁。 相关代理程序还会在设备和家庭网络中引入安全漏洞，当设备被用作出口节点时，攻击者可以借由代理隧道访问同一局域网中的其他私人设备，从而将原本封闭的家庭网络暴露给互联网。

　　一旦 SDK 被嵌入应用，安装该应用的设备就会在提供原有功能的同时，悄然被变成代理网络的出口节点，为运营者提供维持庞大住宅代理网络所需的大量终端设备。 虽然不少住宅代理服务声称其 IP 来源“合法合规”，但Google调查发现，这类说法往往夸大甚至与事实不符，许多含恶意代理代码的应用并未向用户明确披露其会将设备加入 IPIDEA 网络。 安全研究人员此前也在未经认证或贴牌的 Android 机顶盒等设备上发现隐藏的住宅代理载荷。

　　在技术层面，Google对嵌入 SDK 代码的第三方软件以及 SDK 自身进行了静态和动态分析，试图还原其指挥与控制基础设施结构。 分析显示，EarnSDK、PacketSDK、CastarSDK 和 HexSDK 在 C2 基础设施和代码结构上高度重叠，整体采用两层式架构。 第一层中，设备启动后会从预设的多个域名中选择一处连接，向服务器发送设备诊断信息，并获知可供连接的第二层节点 IP；第二层中，客户端定期轮询这些 IP 的特定端口以获取代理任务，一旦接到任务，就与对应的代理端口建立专用连接，对收到的数据进行转发。

　　在具体实现上，第一层通信中，设备信息通过 HTTP GET 查询参数或 POST 请求体上报，其中包含可能用于结算分成的“key”字段，服务器响应则返回轮询间隔、心跳时间及若干第二层节点 IP 配置。 第二层通信则使用纯 IP 地址和不同端口构成的“connect / proxy”对：前者用于发送带编码 JSON 负载的 TCP 轮询包，后者用于在分配到任务后接收真实业务流量并转发至目标完全限定域名（FQDN）。 设备会根据任务中的连接 ID 建立与代理端口的会话，并将收到的数据原样转发给任务指定的外部目标，从而在用户不知情的情况下完成代理链路搭建。

　　在传播途径方面，IPIDEA 运营者旗下还控制多个提供免费 VPN 服务的域名，相应应用表面提供 VPN 功能，实际上暗藏 Hex 或 Packet SDK，将用户设备在未充分告知的情况下接入 IPIDEA 代理网络。 此外，Google共识别出 3075 个在动态分析中对第一层域名发起 DNS 请求的 Windows 可执行文件，其中包括用于将终端变为出口节点的 PacketShare 程序，以及伪装成 OneDriveSync、Windows Update 的“李鬼”应用，且这些木马并非由 IPIDEA 官方直接分发。 在 Android 生态中，Google发现超过 600 款跨不同下载渠道分发的应用含有连接至第一层 C2 域名的代码，这些应用表面功能多为工具、游戏和内容类，但内置了具备 IPIDEA 代理行为的变现 SDK。

　　为全面拆除 IPIDEA 的基础设施，Google本周采取了一系列协同行动。 在保护设备层面，Google通过法律程序打击用于控制受感染设备和转发流量的 C2 域名，从源头削弱代理网络的控制能力，同时在 Android 生态中依据平台政策对隐藏代理代码的“投毒”应用采取执法措施，依托 Google Play Protect 自动识别、提示并移除集成 IPIDEA SDK 的应用，并阻止未来安装。 在限制分发方面，Google还对用于推广 IPIDEA 及其各代理品牌的软件、SDK 等营销站点域名发起法律行动，阻断其获客和扩张渠道。

　　在用户层面，Google呼吁消费者对宣称可以通过“分享闲置带宽”“出租网络”获得报酬的应用保持高度警惕，因为这类应用往往是非法代理网络扩容的主要渠道，会在不知不觉中为家庭网络打开新的攻击入口。 Google建议用户尽量通过官方应用商店获取软件，审慎审核第三方 VPN 和代理应用的权限，确保 Google Play Protect 等内置安全防护处于开启状态。 在购买机顶盒等联网设备时，用户也应优先选择信誉良好的品牌；例如，用户可通过 Android TV 官方网站查询支持官方 Android TV OS 并通过 Play Protect 认证的设备名单，并参考Google提供的步骤检查手中的 Android 设备是否已通过 Play Protect 认证。