Em uma operação conjunta, o Google, o FBI e outros parceiros desferiram um golpe significativo no ecossistema de proxies residenciais ao desmantelar a botnet NetNut (também conhecida como Popa).
O NetNut é um serviço malicioso instalado em milhões de dispositivos de consumidores que foram sequestrados. O NetNut se apresentava como um provedor de proxies residenciais de alta qualidade, vendendo acesso a endereços IP domésticos “reais” para coleta de dados na web e outros casos de uso que soavam inofensivos.
A definição do FBI de um proxy residencial:
“Um proxy residencial é um servidor intermediário entre os usuários e os sites que eles visitam, com o objetivo de fazer com que suas conexões pareçam ter origem em outro lugar. Endereços IP legítimos atribuídos por um provedor de serviços de Internet (ISP) aos dispositivos da Internet das Coisas (IoT) dos consumidores, como dispositivos de streaming de TV, molduras digitais, smartphones, tablets e roteadores, são usados para rotear o tráfego. Quando um dispositivo conectado à Internet é comprometido, o endereço IP desse dispositivo pode ser usado por agentes mal-intencionados para mascarar suas atividades ilegais online, fazendo com que o consumidor pareça ser o responsável.”
O método mais comum usado para adicionar dispositivos à rede NetNut consistia em induzir os usuários a instalar aplicativos de “compartilhamento de largura de banda” ou proxyware, que prometiam pagamentos por “compartilhar sua internet ociosa”, mas ocultavam os verdadeiros riscos nas letras miúdas ou simplesmente ignoravam o consentimento informado. Com menos frequência, os dispositivos são vendidos já comprometidos por meio de cadeias de abastecimento do mercado cinza e enviados com firmware malicioso ou aplicativos instalados por meios alternativos.
Uma vez cadastrados, esses dispositivos poderiam ser usados para veicular ataques de “password spraying”, tentativas de invasão de contas, fraudes publicitárias e até mesmo ataques DDoS do tipo Mirai.
A ação de combate concentrou-se em três frentes: desativar as contas do Google utilizadas para o comando e controle (C2) do NetNut, compartilhar indicadores detalhados sobre os SDKs e a infraestrutura do NetNut com plataformas e autoridades policiais, e utilizar o Google Play Protect para alertar os usuários e desativar automaticamente os aplicativos que contivessem código do NetNut.
Segundo relatos, isso causou uma perturbação significativa na botnet NetNut, reduzindo em milhões o número de dispositivos disponíveis para o operador do proxy.
Como se manter seguro
É improvável que um usuário doméstico comum perceba que seus dispositivos fazem parte da botnet NetNut, embora possa notar um desempenho mais lento, velocidade de internet reduzida, consumo mais rápido da bateria e desgaste adicional nos dispositivos afetados.
Após esse golpe, é provável que os operadores da botnet tentem reconstruir sua rede comprometendo novos dispositivos, ou que outra botnet assuma seu lugar. Por isso, é importante permanecer vigilante. Algumas dicas básicas:
- Tenha muito cuidado com aplicativos que pagam pela largura de banda não utilizada.
- Utilize apenas as lojas oficiais de aplicativos.
- Verifique as permissões VPN proxy nos seus dispositivos.
- Dê preferência a fornecedores confiáveis e certificados pelo Play Protect para dispositivos conectados.
- Utilize uma solução antimalware atualizada e em tempo real nos dispositivos que atendam aos requisitos.

Os golpistas sabem mais sobre você do que você imagina.
Mobile Security Malwarebytes Mobile Security você contra phishing, mensagens de texto fraudulentas, sites maliciosos e muito mais. Com o Scam Guard integrado, alimentado por IA e em tempo real.




