События

Google и ФБР ударили по NetNut: миллионы домашних устройств сдавали в аренду как прокси для атак

Маша Даровская
By Маша Даровская , IT-редактор и автор
Google и ФБР ударили по NetNut: миллионы домашних устройств сдавали в аренду как прокси для атак
Обложка © Anonhaven

Google, ФБР, Lumen и другие партнёры провели совместную операцию против NetNut — крупной сети домашних прокси, также известной как Popa. Google пишет, что её действия серьёзно ухудшили работу сервиса и сократили доступный пул устройств на миллионы узлов. Речь идёт о сети, где домашние устройства пользователей превращались в выходные точки для чужого интернет-трафика.

Масштаб NetNut оценивается минимум в 2 млн устройств по всему миру. В сети могли участвовать Android-устройства, умные телевизоры, ТВ-приставки и стриминговые боксы. Часть устройств заражалась через троянизированные приложения, часть — через вредоносные компоненты, связанные с Badbox 2.0 и другими крупными Android-ботнетами.

На домашнем устройстве появлялся скрытый код, который подключает его к прокси-сети. После этого чужой клиент NetNut или реселлера мог прогонять трафик через IP-адрес владельца устройства. Пользователь видел обычный телевизор или приставку, а где-то в логах чужого сервиса его домашний адрес выглядел как источник скрейпинга, рекламного мошенничества, перебора паролей или попыток входа в чужие аккаунты. KrebsOnSecurity пишет, что такие узлы сдавались в аренду для массового сбора данных, рекламного фрода и атак на аккаунты.

Google отключила аккаунты и связанные сервисы, которые использовались NetNut для управления вредоносной инфраструктурой. Компания также передала технические индикаторы по SDK и управляющим серверам платформам, правоохранителям и исследовательским группам. Google Play Protect начал предупреждать пользователей и отключать приложения, в которых обнаружили компоненты NetNut.

ФБР, в свою очередь, изъяло сотни доменов, связанных с NetNut и ботнетом Popa. KrebsOnSecurity пишет, что на главной странице NetNut появился баннер об изъятии, а в операции участвовали ФБР, IRS Criminal Investigation, Google, Lumen, Shadowserver и другие партнёры.

Google заявила, что у сервиса NetNut также была развитая партнёрская схема, где доступ к сети перепродавался под другими названиями. Такой white label-механизм работает как «прокси под чужой вывеской»: конечный покупатель может думать, что берёт трафик у одного бренда, а фактически использует ту же заражённую инфраструктуру. Google считает, что многие популярные бренды домашних прокси работали поверх ботнета NetNut.

За одну неделю июня 2026 года Google Threat Intelligence Group увидела 316 отдельных кластеров угроз, использовавших подозреваемые выходные узлы NetNut. В список попали киберпреступные и шпионские группы. Такие узлы применялись для скрытия настоящего IP-адреса при входе в инфраструктуру жертв, обращении к собственной инфраструктуре атакующих и попытках массового подбора паролей.

Google предупреждает: когда устройство становится выходным узлом прокси, через него проходит неавторизованный трафик. Злоумышленники также могут получить доступ к другим устройствам в той же домашней сети, если маршрутизация и вредоносный код позволяют двигаться дальше. В результате домашняя приставка или телевизор превращаются в мост между чужими атаками и личной сетью пользователя.

Исследователи ранее связывали Popa с заражёнными Android TV-боксами и похожими устройствами. Публичные отчёты Synthient, Spur, Nokia Deepfield и других команд описывали использование NetNut для заражения устройств вариантами Mirai-подобных DDoS-ботнетов.

NetNut связывают с публичной израильской компанией Alarum Technologies. KrebsOnSecurity приводит заявление юриста компании: Alarum знает об изъятии доменов и готова сотрудничать с правоохранителями для расследования возможного злоупотребления инфраструктурой. Компания не признаёт публично участие в преступной схеме.

Операция против NetNut продолжает январский удар Google по IPIDEA — ещё одной крупной сети домашних прокси. В Google считают, что экосистема быстро перестраивается: когда один оператор теряет собственный ботнет, он может начать покупать ёмкость у конкурентов и перепродавать её дальше. Поэтому точечное отключение одной сети снижает масштаб проблемы, но не закрывает рынок целиком.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.