Numa operação conjunta, a Google, o FBI e outros parceiros desferiram um golpe significativo no ecossistema de proxies residenciais, ao desmantelarem a botnet NetNut (também conhecida como Popa).
O NetNut é um serviço malicioso construído com base em milhões de dispositivos de consumidores que foram sequestrados. O NetNut promovia-se como um fornecedor de proxies residenciais de alta qualidade, vendendo acesso a endereços IP domésticos «reais» para a recolha de dados na Web e outros casos de utilização que pareciam inofensivos.
Definição do FBI de «proxy residencial»:
«Um proxy residencial é um servidor intermediário entre os utilizadores e os sites que visitam, com o objetivo de fazer com que as suas ligações pareçam ter origem noutro local. Os endereços IP legítimos atribuídos por um fornecedor de serviços de Internet (ISP) aos dispositivos da Internet das Coisas (IoT) dos consumidores, tais como dispositivos de streaming de televisão, molduras digitais, smartphones, tablets e routers, são utilizados para encaminhar o tráfego. Assim que um dispositivo ligado à Internet é comprometido, o endereço IP desse dispositivo pode ser utilizado por autores de ameaças para mascarar a sua atividade ilegal online, fazendo com que o consumidor pareça ser o responsável.»
O método mais comum utilizado para adicionar dispositivos à rede NetNut consistia em induzir os utilizadores a instalar aplicações de «partilha de largura de banda» ou proxyware, que prometiam pagamentos por «partilhar a sua ligação à Internet não utilizada», mas ocultavam os verdadeiros riscos nas letras pequenas ou ignoravam completamente o consentimento informado. Com menos frequência, os dispositivos são vendidos já comprometidos através de cadeias de abastecimento do mercado cinzento e enviados com firmware malicioso ou aplicações instaladas por meios alternativos.
Uma vez registados, estes dispositivos poderiam ser utilizados para veicular ataques de «password spraying», tentativas de apropriação de contas, fraude publicitária e até mesmo ataques DDoS do tipo Mirai.
A ação centrou-se em três medidas: desativar as contas do Google utilizadas para o sistema de comando e controlo (C2) do NetNut, partilhar indicadores detalhados sobre os SDKs e a infraestrutura do NetNut com as plataformas e as autoridades policiais, e utilizar o Google Play Protect para alertar os utilizadores e desativar automaticamente as aplicações que incluíssem código do NetNut.
Segundo consta, isto perturbou significativamente a botnet NetNut, reduzindo em milhões o conjunto de dispositivos disponíveis para o operador do proxy.
Como se manter seguro
É improvável que um utilizador doméstico comum se aperceba de que os seus dispositivos fazem parte da botnet NetNut, embora possa notar um desempenho mais lento, velocidades de Internet reduzidas, um esgotamento mais rápido da bateria e um desgaste adicional nos dispositivos afetados.
Após este golpe, é provável que os operadores da botnet tentem reconstruir a sua rede através da infeção de novos dispositivos, ou que outra botnet venha a ocupar o seu lugar. Por isso, é importante manter-se vigilante. Algumas dicas básicas:
- Tenha muito cuidado com as aplicações que lhe pagam pela largura de banda não utilizada.
- Limite-se às lojas de aplicações oficiais.
- Verifique as autorizações VPN proxy nos seus dispositivos.
- Opte por fornecedores de renome e certificados pelo Play Protect para dispositivos conectados.
- Utilize uma solução antimalware atualizada e em tempo real nos dispositivos que preencham os requisitos.

Os burlões sabem mais sobre si do que pensa.
Mobile Security Malwarebytes Mobile Security contra phishing, mensagens fraudulentas, sites maliciosos e muito mais. Com o Scam Guard integrado, alimentado por IA e em tempo real.




