Dans le cadre d'une opération conjointe, Google, le FBI et d'autres partenaires ont porté un coup dur à l'écosystème des proxys résidentiels en démantelant le botnet NetNut (également connu sous le nom de Popa).
NetNut est un service malveillant s'appuyant sur des millions d'appareils grand public piratés. NetNut se présentait comme un fournisseur de proxys résidentiels de haute qualité, vendant l'accès à de « véritables » adresses IP résidentielles à des fins de collecte de données sur le Web et pour d'autres usages apparemment inoffensifs.
Définition d'un proxy résidentiel selon le FBI:
« Un proxy résidentiel est un serveur intermédiaire situé entre les utilisateurs et les sites web qu’ils consultent, qui permet de faire croire que leur connexion provient d’un autre endroit. Les adresses IP légitimes attribuées par un fournisseur d’accès à Internet (FAI) aux appareils de l’Internet des objets (IoT) des consommateurs, tels que les appareils de streaming TV, les cadres photo numériques, les smartphones, les tablettes et les routeurs, sont utilisées pour acheminer le trafic. Dès qu’un appareil connecté à Internet est compromis, son adresse IP peut être utilisée par des cybercriminels pour masquer leurs activités illégales en ligne, faisant ainsi porter la responsabilité sur le consommateur. »
La méthode la plus couramment utilisée pour ajouter des appareils au réseau NetNut consistait à inciter les utilisateurs à installer des applications de « partage de bande passante » ou des logiciels proxy qui promettaient des rémunérations en échange du « partage de leur connexion Internet inutilisée », mais qui dissimulaient les véritables risques dans les clauses en petits caractères ou omettaient purement et simplement de demander un consentement éclairé. Plus rarement, les appareils sont vendus déjà compromis via des chaînes d’approvisionnement du marché gris et livrés avec un micrologiciel malveillant ou des applications installées hors des canaux officiels.
Une fois enregistrés, ces appareils pourraient être utilisés pour mener des attaques par « password spraying », des tentatives de piratage de comptes, des fraudes publicitaires, voire des attaques DDoS de type Mirai.
Cette opération de lutte contre le cybercrime s'est articulée autour de trois axes : la désactivation des comptes Google utilisés pour le système de commande et de contrôle (C2) de NetNut, le partage d'indicateurs détaillés sur les SDK et l'infrastructure de NetNut avec les plateformes et les forces de l'ordre, et l'utilisation de Google Play Protect pour alerter les utilisateurs et désactiver automatiquement les applications contenant du code NetNut.
Selon certaines informations, cela aurait considérablement perturbé le botnet NetNut, réduisant de plusieurs millions le nombre d'appareils à la disposition de l'opérateur du proxy.
Comment rester en sécurité
Un utilisateur particulier lambda a peu de chances de se rendre compte que ses appareils font partie du botnet NetNut, même s'il peut constater un ralentissement des performances, une baisse du débit Internet, une décharge plus rapide de la batterie et une usure accrue des appareils concernés.
Après ce coup dur, les opérateurs du botnet tenteront probablement de reconstruire leur réseau en infectant de nouveaux appareils, ou bien un autre botnet pourrait prendre sa place. Il est donc important de rester vigilant. Voici quelques conseils de base :
- Méfiez-vous au plus haut point des applications qui vous rémunèrent pour la bande passante inutilisée.
- Privilégiez les boutiques d'applications officielles.
- Vérifiez les autorisations VPN proxy sur vos appareils.
- Privilégiez les fournisseurs réputés et certifiés « Play Protect » pour vos appareils connectés.
- Utilisez une solution anti-malware à jour et fonctionnant en temps réel sur les appareils éligibles.

Les escrocs en savent plus sur vous que vous ne le pensez.
Malwarebytes Mobile Security vousMobile Security contre le phishing, les SMS frauduleux, les sites malveillants et bien plus encore. Il intègre une fonctionnalité Scam Guard en temps réel, optimisée par l'IA.




