Google значително отслаби NetNut, една от най-големите мрежи, които превръщат домашните устройства в наети релета за трафика на други хора.

Работейки съвместно с ФБР, Lumen и други партньори, Threat Intelligence Group на Google (GTIG) заяви тази седмица, че е намалила пула от използваеми устройства в мрежата с милиони.

Google идентифицира NetNut (проследявана също като Popa) като мрежа, разпространена в домашни устройства по целия свят, включително смарт телевизори и стрийминг устройства, като GTIG оценява, че тя обхваща най-малко 2 милиона устройства.

Ако някое от тези устройства е във вашия дом, непознати могат да насочват собствения си трафик през вашата интернет връзка, а вашият IP адрес ще бъде обвинен за всичко, което те правят чрез него.

Резиденциалните прокси мрежи продават достъп до реални домашни интернет адреси. Нападателите плащат, за да насочват трафика си през вашата връзка, така че той да изглежда като обикновено сърфиране от вкъщи, а не като трафик от центрове за данни, който инструментите за сигурност обикновено блокират.

За да изградят този пул, операторите се нуждаят от своя код, работещ на домашни устройства. Някои устройства се доставят с предварително инсталиран код върху евтин хардуер без марка; други го придобиват, когато потребител инсталира безплатно приложение, което го крие. Веднъж стартирано, устройството се превръща в „изходна точка“ (exit node) – врата, през която протича трафикът на други хора.

Google посочва, че изходната точка вкарва външен трафик в домашната мрежа, давайки на нападателите опора за достъп до други устройства в нея. Някои от тези домашни джаджи са били въвлечени и в големи ботнет мрежи за атаки като Mirai и Badbox 2.0.

Само за една седмица през юни GTIG преброи 316 отделни клъстера от заплахи, използващи предполагаеми изходни точки на NetNut, включително киберпрестъпни и шпионски групи, за да скрият реалното си местоположение и да извършват атаки за налучкване на пароли.

За разлика от повечето прокси ботнети, NetNut се свързва с публична компания. През юни изследователи от Qurium, Synthient, Nokia Deepfield и Spur свързаха Popa с NetNut.

NetNut е доставчик на прокси услуги, собственост на публично търгуваната израелска компания Alarum Technologies (NASDAQ: ALAR). В контролиран тест от Synthient заявиха, че трафикът, който са изпратили в търговския портал на NetNut, е излязъл през устройство, регистрирано в Popa.

Synthient представи това като доказателство за пътя на трафика, а не като доказателство за това какво е знаела или целяла NetNut. Собственото разузнаване на Google съвпада с това: компанията третира NetNut и Popa като една и съща мрежа и казва, че публичните доклади съответстват на нейното виждане за това как NetNut изгражда своя ботнет. The Hacker News отрази разкритията на изследователите, когато бяха публикувани.

Alarum отхвърля етикета „ботнет“. Тя определя изследването като „доказуемо неточни твърдения и погрешни изводи, а не проверени факти“ и твърди, че софтуерът й е за споделяне на честотна лента с дадено съгласие, което не компрометира устройствата, на които се изпълнява.

Тестовете на изследователите обаче усложняват тази защита: Synthient съобщи, че нито едно от над 20-те изследвани приложения всъщност не е показало на потребителите подкана за даване на съгласие.

Прекъсването на NetNut е усложнено по дизайн. NetNut управлява програма за препродажба (reseller), която позволява на други компании да продават нейната мрежа под собствените си марки. Google заявява с висока степен на увереност, че много популярни, на пръв поглед отделни марки проксита в действителност препродават същия пул на NetNut.

Така едно еднократно сваляне на мрежата се отразява на много марки, които изглеждат независими, но не са.

Ето защо Google нарича това „деградация“, а не окончателно унищожаване. Компанията посочва, че по-ранните й действия срещу подобна мрежа (IPIDEA) са показали, че тези мрежи са устойчиви: операторите започват да купуват капацитет от конкуренти, като на практика сами стават препродавачи. Реални и трайни щети, според Google, означават едновременно противодействие срещу няколко свързани доставчици.

През януари Google и партньорите му разбиха IPIDEA, базирана в Китай мрежа, която в пика си беше една от най-големите по рода си. През юли 2025 г. Google изправи пред съда операторите на Badbox 2.0 – ботнетът от компрометирани устройства с Android TV, чиито компоненти се припокриват с Popa. Всеки път мрежите се оказваха упорити.

Най-ясният предупредителен знак е приложение, което предлага да ви плаща за „неизползвана честотна лента“ или за „споделяне на вашия интернет“. Това е един от основните начини за растеж на тези мрежи.

Придържайте се към официалните магазини за приложения и проверявайте какви разрешения изисква дадено VPN или прокси приложение.

Дръжте включени вградените защити като Google Play Protect.

Купувайте стрийминг устройства и смарт телевизори от известни производители, а не от неизвестни марки.

Търсенето на тези домашни адреси не изчезва при свалянето на една мрежа; то просто се премества. За защитниците следващият сигнал ще бъде дали свързаният с NetNut трафик ще се появи отново под марки на препродавачи.