In einer gemeinsamen Aktion haben Google, das FBI und weitere Partner dem Ökosystem der Residential-Proxys einen erheblichen Schlag versetzt, indem sie das Botnetz „NetNut“ (auch als „Popa“ bekannt) zerschlagen haben.
NetNut ist ein bösartiger Dienst, der auf Millionen von gekaperten Verbrauchergeräten basiert. NetNut vermarktete sich als Anbieter hochwertiger Privat-Proxys und verkaufte den Zugriff auf „echte“ private IP-Adressen für die Erhebung von Webdaten und andere harmlos klingende Anwendungsfälle.
Die Definition des FBI für einen „Residential Proxy“:
„Ein Residential-Proxy ist ein Zwischenserver zwischen Einzelpersonen und den von ihnen besuchten Websites, der den Anschein erweckt, als stamme die Verbindung von einem anderen Ort. Zur Weiterleitung des Datenverkehrs werden legitime IP-Adressen verwendet, die von einem Internetdienstanbieter (ISP) den IoT-Geräten (Internet der Dinge) der Verbraucher zugewiesen wurden, wie beispielsweise TV-Streaming-Geräte, digitale Bilderrahmen, Smartphones, Tablets und Router. Sobald ein mit dem Internet verbundenes Gerät kompromittiert wurde, kann die IP-Adresse des Geräts von Angreifern genutzt werden, um ihre illegalen Online-Aktivitäten zu verschleiern, wodurch der Verbraucher als Verantwortlicher erscheint.“
Die gängigste Methode, um Geräte in das NetNut-Netzwerk einzubinden, bestand darin, Nutzer dazu zu verleiten, Apps zur „Bandbreitenteilung“ oder Proxyware zu installieren, die Auszahlungen für die „Weitergabe Ihrer ungenutzten Internetverbindung“ versprachen, dabei jedoch die tatsächlichen Risiken im Kleingedruckten versteckten oder auf eine aussagekräftige Einwilligung gänzlich verzichteten. Seltener werden Geräte über Lieferketten des Graumarkts bereits kompromittiert verkauft und mit schädlicher Firmware oder seitlich installierten Apps ausgeliefert.
Sobald diese Geräte registriert sind, könnten sie dazu genutzt werden, Passwort-Spraying-Angriffe, Versuche der Kontoübernahme, Werbebetrug und sogar DDoS-Angriffe mit Mirai-Varianten zu verbreiten.
Die Maßnahmen konzentrierten sich auf drei Ansatzpunkte: die Deaktivierung von Google-Konten, die für die Command-and-Control-Funktionen (C2) von NetNut genutzt wurden, die Weitergabe detaillierter Hinweise zu den SDKs und der Infrastruktur von NetNut an Plattformen und Strafverfolgungsbehörden sowie den Einsatz von Google Play Protect, um Nutzer zu warnen und Apps, die NetNut-Code enthielten, automatisch zu deaktivieren.
Berichten zufolge hat dies das NetNut-Botnetz erheblich gestört und den Pool an verfügbaren Geräten für den Proxy-Betreiber um Millionen verringert.
Wie man sicher bleibt
Ein typischer Privatanwender wird wahrscheinlich nicht bemerken, dass seine Geräte Teil des NetNut-Botnetzes sind, obwohl er möglicherweise eine geringere Leistung, geringere Internetgeschwindigkeiten, einen schnelleren Akkuverbrauch und einen erhöhten Verschleiß der betroffenen Geräte feststellen könnte.
Nach diesem Rückschlag werden die Betreiber des Botnetzes wahrscheinlich versuchen, ihr Netzwerk wieder aufzubauen, indem sie neue Geräte kompromittieren, oder ein anderes Botnetz könnte dessen Platz einnehmen. Daher ist es wichtig, wachsam zu bleiben. Hier einige grundlegende Tipps:
- Seien Sie äußerst vorsichtig bei Apps, die Sie für ungenutzte Bandbreite bezahlen.
- Halten Sie sich an die offiziellen App-Stores.
- Überprüfen Sie die VPN Proxy-Berechtigungen auf Ihren Geräten.
- Bevorzugen Sie bei vernetzten Geräten seriöse, „Play Protect“-zertifizierte Anbieter.
- Verwenden Sie auf den dafür geeigneten Geräten eine aktuelle Anti-Malware-Lösung, die in Echtzeit arbeitet.

Betrüger wissen mehr über dich, als du denkst.
Malwarebytes Mobile Security Sie vor Phishing, betrügerischen SMS, bösartigen Websites und vielem mehr. Mit integriertem, KI-gestütztem Scam Guard in Echtzeit.




