По данным расследования, сеть объединяла более 2 миллионов устройств по всему миру: смарт-телевизоры, стриминговые приставки и другие гаджеты на базе Android. Подключенные устройства автоматически перенаправляли интернет-трафик через домашние IP-адреса пользователей, а владельцы техники не знали об этом.

Основой схемы стал вредоносный программный комплект разработки (SDK), который встраивался в недорогие Android-устройства и отдельные приложения, включая сторонние клиенты для просмотра контента. После установки подобного ПО устройства становились частью распределенной прокси-сети, которую злоумышленники использовали для маскировки своей активности.

Как установили специалисты, только за одну неделю в июне 2026 года инфраструктура NetNut применялась сотнями группировок для атак методом перебора паролей, кражи учетных данных, рекламного мошенничества и сбора конфиденциальной информации.

Особенностью NetNut стало то, что сеть функционировала не как классический подпольный ботнет, а как коммерческий прокси-сервис. Эксперты связали инфраструктуру с израильской компанией Alarum Technologies, акции которой торгуются на Nasdaq. Ранее фирма заявляла, что предоставляет пользователям сервис добровольного обмена интернет-ресурсами. Однако независимые исследования показали, что владельцев устройств могли недостаточно информировать о фактическом использовании их подключения.

После изъятия связанных с NetNut доменов Alarum заявила о готовности сотрудничать с правоохранительными органами.

По информации Google, модель работы NetNut позволяла другим компаниям перепродавать доступ к прокси-инфраструктуре под собственными брендами. В рамках операции изъяты сотни связанных доменов, а Google заблокировала учетные записи, связанные с управляющими серверами, и обновила систему защиты Google Play Protect для выявления приложений с опасным SDK.