Специалисты Google совместно с ФБР, Lumen, Shadowserver Foundation и другими партнерами нарушили работу одной из крупнейших сетей резидентных прокси — NetNut. По информации аналитиков Google Threat Intelligence Group (GTIG), операторы сервиса лишились доступа к нескольким миллионам узлов.
Сеть NetNut (она же Popa) охватывает как минимум 2 млн устройств по всему миру, включая «умные» телевизоры, стриминговые приставки и другую электронику. Такие гаджеты превращаются в выходные узлы сети, и клиенты прокси-сервиса получают возможность направлять через них свой трафик.
Трафик, исходящий от резидентных прокси, выглядит как обычная активность домашних пользователей, поэтому его сложнее заблокировать. Этим активно пользуются злоумышленники, скрывающие свое местоположение и инфраструктуру.
Как пишут исследователи, код NetNut предустанавливался на бюджетные устройства малоизвестных брендов, а также скрывался в бесплатных приложениях. После запуска этот код превращал устройство в узел прокси, через который проходил чужой трафик, и потенциально открывал злоумышленникам доступ к другим девайсам в домашней сети. Также отмечается, что часть зараженных устройств в итоге попадала в крупные ботнеты (например, варианты Mirai и Badbox 2.0).
Всего за одну неделю июня специалисты GTIG насчитали 316 кластеров активности, использовавших узлы NetNut. Среди них были как хакерские, так и шпионские группировки, которые скрывали источники своей активности и занимались атаками типа password spraying.
Как недавно сообщил известный ИБ-журналист Брайан Кребс (Brian Krebs), в отличие от большинства подобных сетей, сервис NetNut оказался связан с публичной израильской компанией Alarum Technologies, чьи акции торгуются на Nasdaq под тикером ALAR. Кребс подчеркивает, что ранее исследователи из компаний Qurium, Synthient, Nokia Deepfield и Spur связали NetNut с сетью Popa.
Кроме того, в прошлом месяце специалисты Synthient направили трафик через коммерческий шлюз NetNut в рамках контролируемого эксперимента. В итоге трафик вышел в интернет через устройство, заранее подключенное к Popa. Но исследователи писали, что этот тест подтверждает маршрут трафика, однако не доказывает, что в NetNut знали о происхождении узлов или умышленно создали ботнет. Выводы, опубликованные теперь аналитиками Google, согласуются с результатами этих независимых исследований.
При этом представители Alarum не согласны с использованием термина «ботнет» и называют опубликованные исследователями данные «неточными и ошибочными». В компании утверждают, что NetNut является «легитимной коммерческой сетью прокси-серверов», и пользователи добровольно предоставляют сервису неиспользуемую пропускную способность своих устройств. Отдельно в заявлении компании подчеркивалось, что ПО не подвергает устройства риску.
Однако специалисты Synthient сообщали, что ни одно из изученных ими приложений не запрашивало у пользователей согласия на передачу трафика.
Как пишут эксперты Google, полностью обезвредить сеть NetNut в рамках одной операции невозможно. Дело в том, что сервис работает через реселлеров, которые продают доступ к той же инфраструктуре под собственными брендами. По оценкам исследователей, многие якобы независимые прокси-сервисы на деле перепродают доступ к сети NetNut.
В рамках проведенной операции специалисты Google отключили аккаунты и сервисы, которые операторы NetNut использовали для управления малварью. Кроме того, данные о SDK NetNut и серверной инфраструктуре сервиса были переданы партнерам Google, правоохранительным органам и исследовательским компаниям, чтобы те тоже могли обнаруживать и блокировать компоненты, связанные с этой сетью.
Также в Google обновили защиту Play Protect. Теперь она автоматически предупреждает пользователей об известных приложениях со встроенными SDK NetNut, отключает их на Android-устройствах и блокирует установку.
По оценке экспертов GTIG, все эти меры привели к отключению от сети NetNut миллионов устройств и заметно ударили по работе самого прокси-сервиса. Однако специалисты называют произошедшее нарушением работы сети, а не ее ликвидацией. Дело в том, что после блокировок операторы таких платформ зачастую покупают мощности у конкурентов и сами превращаются в реселлеров. Специалисты считают, что для достижения долгосрочного эффекта необходимо одновременно воздействовать на инфраструктуру нескольких связанных провайдеров.
Напомним, что в январе 2026 года Google и ее партнеры уже нарушили работу китайской сети резидентных прокси IPIDEA, а в 2025 году компания подала в суд на операторов ботнета Badbox 2.0. Компоненты этого ботнета, в основном состоявшего из взломанных ТВ-приставок под управлением Android, частично пересекались с сетью Popa.
В заключение эксперты Google в очередной раз посоветовали пользователям устанавливать софт только из официальных магазинов, проверять разрешения VPN- и прокси-приложений, не отключать Google Play Protect, а также избегать использования бюджетных ТВ-приставок и телевизоров неизвестных производителей.

