2 июля прошумела громкая новость: FBI совместно с IRS Criminal Investigation изъяли сотни доменов NetNut, а Google в тот же день погасил его C2 на своих сервисах и вычистил из живого парка приложения с зашитыми SDK. Так вывели из строя одну из крупнейших в мире residential-прокси-сетей – по оценке Google Threat Intelligence, порядка двух миллионов заражённых устройств: смарт-ТВ и стриминг-боксов, раскиданных по всему миру.
Но снос – это про витрину. Под коммерческим брендом NetNut работает Popa: Android-proxyware SDK, который непрерывно с мая 2020-го и набивал этот двухмиллионный пул. Вскрыли его не в пресс-релизе, а в реверсе – Qurium, Synthient и Nokia Deepfield декомпилировали сам SDK, разобрали его C2-хендшейк и телеметрию, вплоть до того, какие строки он собирает и куда стучит.
Самый убедительный артефакт этого разбора – даже не размер пула, а один контролируемый тест. 17 июня Synthient загнала помеченный запрос в коммерческий шлюз NetNut и поймала его на своём honeypot – на выходе из устройства, на котором крутился Popa SDK. Трафика третьих лиц в эксперименте не было: то, что вошло в NetNut как «легальный residential proxy», вышло из ноды ботнета. Ниже – как эта машина собрана изнутри.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Автор: hacker@shifry.local