- ФБР и Google ликвидировали ботнет NetNut, использовавший миллионы устройств как скрытые прокси.
- Сеть объединяла более 2 млн устройств на Android, включая смарт-телевизоры и стриминговые приставки.
- Вредоносный SDK встраивался в недорогие Android-устройства и приложения, превращая их в прокси.
- Инфраструктура использовалась для атак, кражи данных и рекламного мошенничества.
- Сеть связана с израильской компанией Alarum Technologies, акции которой торгуются на Nasdaq.
По данным расследования, сеть объединяла более 2 миллионов устройств по всему миру: смарт-телевизоры, стриминговые приставки и другие гаджеты на базе Android. Подключенные устройства автоматически перенаправляли интернет-трафик через домашние IP-адреса пользователей, а владельцы техники не знали об этом.
Основой схемы стал вредоносный программный комплект разработки (SDK), который встраивался в недорогие Android-устройства и отдельные приложения, включая сторонние клиенты для просмотра контента. После установки подобного ПО устройства становились частью распределенной прокси-сети, которую злоумышленники использовали для маскировки своей активности.
Как установили специалисты, только за одну неделю в июне 2026 года инфраструктура NetNut применялась сотнями группировок для атак методом перебора паролей, кражи учетных данных, рекламного мошенничества и сбора конфиденциальной информации.
Особенностью NetNut стало то, что сеть функционировала не как классический подпольный ботнет, а как коммерческий прокси-сервис. Эксперты связали инфраструктуру с израильской компанией Alarum Technologies, акции которой торгуются на Nasdaq. Ранее фирма заявляла, что предоставляет пользователям сервис добровольного обмена интернет-ресурсами. Однако независимые исследования показали, что владельцев устройств могли недостаточно информировать о фактическом использовании их подключения.
После изъятия связанных с NetNut доменов Alarum заявила о готовности сотрудничать с правоохранительными органами.
По информации Google, модель работы NetNut позволяла другим компаниям перепродавать доступ к прокси-инфраструктуре под собственными брендами. В рамках операции изъяты сотни связанных доменов, а Google заблокировала учетные записи, связанные с управляющими серверами, и обновила систему защиты Google Play Protect для выявления приложений с опасным SDK.
Источник: 24.kg
Комментарии
Загрузка…
Оставить комментарий