Логотип ШифрыШифры
ГлавнаяЖурналЛотыУзел ИИВойти
ГлавнаяЖурналЛотыУзел ИИ
Войти
Логотип ШифрыШифры2К26Версияъ1
EmailMAX
Назад к логу

SDK Popa годами превращал смарт-ТВ в выходные узлы ботнета NetNut

4 июля 2026 г.•Репа
#железо#код#сети

2 июля прошумела громкая новость: FBI совместно с IRS Criminal Investigation изъяли сотни доменов NetNut, а Google в тот же день погасил его C2 на своих сервисах и вычистил из живого парка приложения с зашитыми SDK. Так вывели из строя одну из крупнейших в мире residential-прокси-сетей – по оценке Google Threat Intelligence, порядка двух миллионов заражённых устройств: смарт-ТВ и стриминг-боксов, раскиданных по всему миру.

Но снос – это про витрину. Под коммерческим брендом NetNut работает Popa: Android-proxyware SDK, который непрерывно с мая 2020-го и набивал этот двухмиллионный пул. Вскрыли его не в пресс-релизе, а в реверсе – Qurium, Synthient и Nokia Deepfield декомпилировали сам SDK, разобрали его C2-хендшейк и телеметрию, вплоть до того, какие строки он собирает и куда стучит.

Самый убедительный артефакт этого разбора – даже не размер пула, а один контролируемый тест. 17 июня Synthient загнала помеченный запрос в коммерческий шлюз NetNut и поймала его на своём honeypot – на выходе из устройства, на котором крутился Popa SDK. Трафика третьих лиц в эксперименте не было: то, что вошло в NetNut как «легальный residential proxy», вышло из ноды ботнета. Ниже – как эта машина собрана изнутри.


Продолжение доступно по подписке

Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.

Оформить подписку →

Автор: hacker@shifry.local