Päivittäin lähes 900 havaintoa Suomessa – Kyberturvallisuuskeskus varoittaa IPIDEA-välityspalvelinverkosta

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus varoittaa kodin älylaitteita hyväksikäyttävästä IPIDEA-välityspalvelinverkosta.

IPIDEA on kiinalainen yritys, joka kontrolloi Googlen raportoinnin mukaan yhtä maailman suurimmista välityspalveluverkostoista. IPIDEA:n on havaittu ottavan haltuun kotitalouksien verkkolaitteita valesovellusten kautta ja levittämällä haitallista koodia VPN-palveluiden avulla.

Kyberturvallisuuskeskus suosittelee pitämään riittävät suojauskeinot aktiivisena päätelaitteissa sekä hankkimaan älylaitteet ja sovellukset luotetuilta valmistajilta.

Välityspalvelut ohjaavat internet-liikennettä toisten palvelimien kautta, mikä auttaa häivyttämään liikenteen alkuperää. Googlen Threat Intelligence Group:in (GTIG) raportin mukaan IPIDEA kontrolloi miljoonia kotitalouksien internet-yhteyksiä kuluttajalaitteiden, kuten tietokoneiden ja älypuhelimien, kautta. Näitä yhteyksiä käytettiin välityspalvelimina muiden yritysten ja kuluttajien toimesta.

IPIDEA kontrolloi näitä yhteyksiä omien VPN-palveluidensa sekä sellaisten kolmansien osapuolten sovellusten kautta, joihin on upotettu IPIDEA:n mainostustyökaluja. Google on kertonut tehneensä estotoimia, joilla se katkaisi IPIDEA:n hallinnan miljooniin asiakaslaitteisiin.

Google on kuvaillut IPIDEAn olevan ”yksi maailman suurimmista välityspalveluverkostoista” alkuvuonna 2026.

IPIDEA -havainnot lähtivät kasvuun Kyberturvallisuuskeskuksen Autoreporter -palvelussa 18.2.2026. Nykyiselään Suomessa havainnot IPIDEA:n komentopalvelinliikenteestä ovat nousseet Badbox 2.0 -haittaohjelman tasolle. Päivittäin liikenteestä saadaan lähes 900 havaintoa.

Kyberturvallisuuskeskuksen tilastoimat BadBox 2.0:n ja IPIDEAn havainnot Suomesta viimeiseltä 5 viikolta.

IPIDEA muuttaa kuluttajalaitteita välityspalvelimiksi asentamalla laitteeseen haitallista koodia, Kyberturvallisuuskeskus kertoo.

Haittakoodi voidaan piilottaa esimerkiksi eri sovelluksiin ja peleihin, tai se voi olla jo esiasennettuna mukana halvoissa Android TV -suoratoistolaitteissa. Haitallinen koodi käskee laitetta välittämään verkkoliikennettä ja osallistumaan hajautettuihin palvelunestohyökkäyksiin (DDoS).

Lisäksi kaapattuja laitteita voidaan käyttää haitallisen verkkoliikenteen peittelemiseksi ohjaamalla verkkoliikennettä kotitalouksien verkkolaitteiden kautta. Näin haitallinen liikenne näyttää tulevan paikallisista kotiverkoista liikenteen alkuperäisen osoitteen sijaan.

IPIDEA on markkinoinut itseään laillisena välityspalveluntarjoajana, mutta Kyberturvallisuuskeskuksen mukaan selvitykset ja raportit ovat osoittavat sen käyttäneen verkostonsa laitteita kyseenalaisiin tarkoituksiin. IPIDEA:n toimintaa on myös havaittu SDK-työkaluissa (ohjelmistokehityspaketti).

Tutkijat ovat löytäneet myös valesovelluksia, yli 3 000 Windows-tiedostoa ja 600 Android-sovellusta, jotka teeskentelivät olevansa esimerkiksi OneDrive Sync- tai Windows Update -päivityksiä, mutta todellisuudessa ne liittivät laitteen IPIDEA:n laitteiden verkostoon. IPIDEA:n haitallisen koodin on havaittu myös olleen esiasennettuna halvoissa Android TV -suoratoistobokseissa.

Kyberturvallisuuskeskus ohjeistaa tarkistamaan, että Android-laitteissa on Google Play Protect päällä. Se tunnistaa ja poistaa tunnetut IPIDEA-haittaohjelmat. Lisäksi kannattaa välttää ”ilmaisia” VPN-palveluita. IPIDEA on käyttänyt muun muassa Galleon VPN- ja Radish VPN -sovelluksia laitteiden kaappaamiseen.

Kyberturvallisuuskeskuksen mukaan sovelluksia, jotka lupaavat rahaa ”käyttämättömästä internet-kaistasta”, ei tule asentaa.

Lisäksi yleisenä ohjeena laitteet kannattaa päivittää säännöllisesti.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla