La botnet NetNut subisce un duro colpo. Non finire nella prossima.

| 6 luglio 2026
Operazione NetNut conclusa con successo

Nel corso di un'operazione congiunta, Google, l'FBI e altri partner hanno inferto un duro colpo all'ecosistema dei proxy residenziali, smantellando la botnet NetNut (nota anche come Popa).

NetNut è un servizio dannoso basato su milioni di dispositivi di consumo compromessi. NetNut si presentava come un fornitore di proxy residenziali di alta qualità, vendendo l'accesso a indirizzi IP domestici “reali” per la raccolta di dati dal web e altri casi d'uso apparentemente innocui.

La definizione di “proxy residenziale” fornita dall’FBI:

“Un proxy residenziale è un server intermediario tra gli utenti e i siti web che visitano, che fa sembrare che le loro connessioni provengano da altrove. Per instradare il traffico vengono utilizzati indirizzi IP legittimi assegnati da un provider di servizi Internet (ISP) ai dispositivi dell’Internet delle cose (IoT) dei consumatori, quali dispositivi per lo streaming televisivo, cornici digitali, smartphone, tablet e router. Una volta che un dispositivo connesso a Internet viene compromesso, l’indirizzo IP del dispositivo può essere utilizzato dagli autori delle minacce per mascherare le loro attività illegali online, facendo apparire il consumatore come il responsabile.”

Il metodo più comune utilizzato per aggiungere dispositivi alla rete NetNut consisteva nell’indurre con l’inganno gli utenti a installare app di “condivisione della larghezza di banda” o proxyware che promettevano compensi per la “condivisione della propria connessione Internet inutilizzata”, ma nascondevano i veri rischi nelle clausole scritte in piccolo o tralasciavano del tutto il consenso informato. Meno comunemente, i dispositivi vengono venduti già compromessi attraverso catene di approvvigionamento del mercato grigio e spediti con firmware dannoso o app installate tramite side-loading.

Una volta registrati, questi dispositivi potrebbero essere utilizzati per sferrare attacchi di “password spraying”, tentativi di appropriazione indebita di account, frodi pubblicitarie e persino attacchi DDoS basati su varianti di Mirai.

L'intervento si è concentrato su tre aspetti chiave: la disattivazione degli account Google utilizzati per il sistema di comando e controllo (C2) di NetNut, la condivisione con le piattaforme e le forze dell'ordine di indicatori dettagliati sugli SDK e sull'infrastruttura di NetNut, e l'utilizzo di Google Play Protect per avvisare gli utenti e disattivare automaticamente le app che includevano codice NetNut.

A quanto pare, ciò ha compromesso in modo significativo il funzionamento della botnet NetNut, riducendo di milioni il numero di dispositivi a disposizione dell'operatore del proxy.

Come stare al sicuro

È improbabile che un utente domestico medio si accorga che i propri dispositivi fanno parte della botnet NetNut, anche se potrebbe riscontrare un calo delle prestazioni, una riduzione della velocità di connessione a Internet, un consumo più rapido della batteria e un’usura maggiore dei dispositivi interessati.

Dopo questo duro colpo, gli operatori della botnet cercheranno probabilmente di ricostruire la propria rete compromettendo nuovi dispositivi, oppure un’altra botnet potrebbe prendere il suo posto. È quindi importante rimanere vigili. Ecco alcuni consigli di base:

  • Diffidate fortemente delle app che vi pagano per la larghezza di banda inutilizzata.
  • Utilizza solo gli app store ufficiali.
  • Controlla le autorizzazioni relative VPN al proxy sui tuoi dispositivi.
  • Per i dispositivi connessi, scegliete fornitori affidabili e certificati Play Protect.
  • Utilizzare una soluzione anti-malware aggiornata e in tempo reale sui dispositivi che ne hanno i requisiti.
Malwarebytes netnut.com
Malwarebytes netnut.com

I truffatori sanno più cose su di te di quanto tu creda. 

Malwarebytes Mobile Security tiMobile Security da phishing, SMS truffaldini, siti dannosi e altro ancora. Con la funzione Scam Guard basata sull'intelligenza artificiale integrata e attiva in tempo reale. 

Download iOS Download Android  

Informazioni sull'autore

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.