W ramach wspólnej operacji firma Google, FBI i inni partnerzy zadali poważny cios ekosystemowi serwerów proxy przeznaczonych do użytku domowego, unieszkodliwiając botnet NetNut (znany również pod nazwą Popa).
NetNut to złośliwa usługa oparta na milionach przejętych urządzeń konsumenckich. NetNut reklamował się jako dostawca wysokiej jakości serwerów proxy dla użytkowników domowych, sprzedając dostęp do „prawdziwych” domowych adresów IP w celu gromadzenia danych internetowych oraz innych zastosowań, które brzmiały niewinnie.
Definicja serwera proxy domowego według FBI:
„Proxy domowe to serwer pośredniczący między użytkownikami a odwiedzanymi przez nich stronami internetowymi, który sprawia, że połączenia wydają się pochodzić z innego miejsca. Do kierowania ruchem wykorzystywane są legalne adresy IP przypisane przez dostawcę usług internetowych (ISP) do urządzeń konsumentów należących do Internetu rzeczy (IoT), takich jak urządzenia do strumieniowego przesyłania treści telewizyjnych, cyfrowe ramki do zdjęć, smartfony, tablety i routery. Gdy urządzenie podłączone do Internetu zostanie przejęte, adres IP tego urządzenia może zostać wykorzystany przez cyberprzestępców do ukrycia ich nielegalnej działalności w sieci, sprawiając, że to konsument wydaje się być za nią odpowiedzialny.”
Najpopularniejszą metodą dodawania urządzeń do sieci NetNut było nakłanianie użytkowników do zainstalowania aplikacji do „dzielenia się przepustowością” lub oprogramowania typu proxyware, które obiecywały wynagrodzenie za „dzielenie się niewykorzystanym dostępem do Internetu”, ale ukrywały rzeczywiste zagrożenia w drobnym drukiem lub całkowicie pomijały konieczność uzyskania świadomej zgody. Rzadziej zdarza się, że urządzenia są sprzedawane w stanie już zainfekowanym za pośrednictwem kanałów dystrybucji na szarym rynku i dostarczane z złośliwym oprogramowaniem układowym lub aplikacjami zainstalowanymi poza oficjalnym kanałem.
Po włączeniu do sieci urządzenia te mogłyby być wykorzystywane do przeprowadzania ataków typu „password spraying”, prób przejęcia kontroli nad kontami, oszustw reklamowych, a nawet ataków DDoS opartych na wariancie Mirai.
Działania te skupiały się na trzech obszarach: dezaktywacji kont Google wykorzystywanych przez NetNut do komunikacji z serwerami dowodzenia i kontroli (C2), udostępnianiu platformom i organom ścigania szczegółowych informacji dotyczących zestawów SDK i infrastruktury NetNut oraz wykorzystaniu usługi Google Play Protect do ostrzegania użytkowników i automatycznego blokowania aplikacji zawierających kod NetNut.
Jak się podaje, spowodowało to znaczne zakłócenie działania botnetu NetNut, zmniejszając o miliony liczbę urządzeń dostępnych dla operatora serwera proxy.
Jak zachować bezpieczeństwo
Typowy użytkownik domowy prawdopodobnie nie zauważy, że jego urządzenia są częścią botnetu NetNut, choć może odczuwać spowolnienie działania, zmniejszoną prędkość połączenia internetowego, szybsze wyczerpywanie się baterii oraz dodatkowe zużycie dotkniętych tym problemem urządzeń.
Po tym ciosie operatorzy botnetu prawdopodobnie będą próbowali odbudować swoją sieć, przejmując kontrolę nad nowymi urządzeniami, albo też na jego miejsce może pojawić się inny botnet. Dlatego ważne jest, aby zachować czujność. Oto kilka podstawowych wskazówek:
- Należy zachować szczególną ostrożność w przypadku aplikacji, które oferują wynagrodzenie za niewykorzystaną przepustowość.
- Korzystaj wyłącznie z oficjalnych sklepów z aplikacjami.
- Sprawdź uprawnienia VPN proxy na swoich urządzeniach.
- Wybieraj renomowanych dostawców urządzeń podłączonych do sieci, posiadających certyfikat Play Protect.
- Na urządzeniach, które spełniają odpowiednie wymagania, należy korzystać z aktualnego oprogramowania chroniącego przed złośliwym oprogramowaniem działającego w czasie rzeczywistym.

Oszuści wiedzą o tobie więcej, niż ci się wydaje.
Malwarebytes Mobile Security Cię przed phishingiem, oszukańczymi wiadomościami tekstowymi, złośliwymi stronami internetowymi i nie tylko. Dzięki wbudowanej funkcji Scam Guard opartej na sztucznej inteligencji, działającej w czasie rzeczywistym.




