Google, в сътрудничество с ФБР, Lumen Technologies и други партньори от индустрията, предприе действия за разбиването на прокси мрежата от жилищни адреси NetNut (проследявана и под името "Popa"). Оценява се, че тя е компрометирала поне 2 милиона домашни устройства по целия свят.
Google деактивира профили и услуги, които NetNut е използвала за командване и контрол (C2) на зловреден софтуер, което е пряко нарушение на Условията за ползване на компанията. Освен това Google сподели технически данни за SDK пакетите и инфраструктурата на NetNut с правоприлагащите органи и изследователските фирми.
Приложението Google Play Protect също беше обновено, за да предупреждава автоматично потребителите и да деактивира приложения, които съдържат вграден NetNut SDK, спирайки бъдещи опити за инсталиране на Android устройства. Тази операция следва подобно спиране на прокси мрежата IPIDEA от януари 2026 г.
Разследване на KrebsOnSecurity свързва ботнета Popa директно с NetNut, дъщерно дружество на израелската компания Alarum Technologies Ltd. Popa функционира като плъгин към по-големия ботнет Vo1d, който атакува неофициални Android ТВ боксове с пиратски приложения за стрийминг (като CRICFy, DooFlix и Flixoid). Изследвания на Synthient потвърждават с висока степен на сигурност, че заразените устройства пренасочват прокси трафик за клиенти на NetNut.
Въпреки че Alarum Technologies отрича определението "ботнет" и твърди, че потребителите споделят честотната си лента доброволно, доставчици на услуги като Spur посочват, че NetNut няма реален процес за проверка на клиентите (KYC). Lumen Black Lotus Labs изчислява, че ботнетът Popa сменя между 1.5 и 2.5 милиона уникални IP адреса дневно.
Домашните устройства стават част от тази мрежа без знанието на потребителите – чрез предварително инсталиран зловреден софтуер или скрити SDK пакети в безплатни приложения. Това излага на риск останалите устройства в локалната мрежа и ги прави уязвими за заразяване с варианти на Mirai за DDoS атаки. Google съветва потребителите да избягват приложения, обещаващи заплащане за "неизползван интернет", да използват само официални магазини и да проверяват сертификацията на смарт устройствата си.