Google e l’FBI hanno smantellato la rete proxy NetNut, conosciuta anche come botnet Popa, che sfruttava oltre due milioni di dispositivi Android in tutto il mondo. Smart TV, decoder e applicazioni non ufficiali venivano impiegati come nodi proxy per attività illegali.

Un’operazione congiunta tra Google, FBI e ricercatori specializzati ha portato all’interruzione delle operazioni di NetNut, un servizio commerciale di proxy residenziali identificato anche come botnet Popa. Le analisi indicano che la rete utilizzava più di 2 milioni di dispositivi Android a livello globale, trasformandoli in proxy per il traffico Internet impiegato in attività illecite.
Il sistema si basava su un SDK malevolo integrato in dispositivi Android economici, tra cui smart TV e media box, oltre che in alcune applicazioni non ufficiali come SmartTube. Una volta connessi a internet, questi dispositivi iniziavano a veicolare traffico attraverso le rispettive connessioni domestiche senza il consenso degli utenti.
L’utilizzo di indirizzi IP residenziali consentiva agli aggressori di rendere più difficile l’individuazione delle attività dannose da parte dei sistemi di sicurezza. Google ha comunicato che, durante una singola settimana del mese di giugno 2026, almeno 316 gruppi di minaccia hanno sfruttato l’infrastruttura di NetNut per eseguire password spraying, furto di credenziali, frodi pubblicitarie e raccolta di dati sensibili.
Un aspetto insolito della rete riguarda la sua natura. A differenza delle botnet tradizionali controllate da criminali informatici, NetNut presentava collegamenti con un’entità commerciale. Il giornalista Brian Krebs ha riferito che la rete potrebbe essere riconducibile ad Alarum Technologies Ltd., una società israeliana quotata al Nasdaq.
Le ricerche condotte da Qurium e Synthient avrebbero inoltre individuato connessioni tra il management dell’azienda e gli sviluppatori del Popa SDK. In passato, Alarum aveva descritto la propria piattaforma come un servizio di condivisione consensuale della banda internet. Tuttavia, verifiche tecniche indipendenti hanno evidenziato che gli utenti non ricevevano informazioni sufficientemente chiare sull’utilizzo dei propri dispositivi all’interno della rete proxy, né veniva richiesto un consenso pienamente consapevole.
Dopo il sequestro dei domini associati a NetNut, Alarum Technologies ha dichiarato di prendere molto seriamente la vicenda e di voler collaborare pienamente con le autorità. L’azienda ha comunicato che “Alarum prende sul serio la questione e collaborerà pienamente con le forze dell’ordine per garantire che qualsiasi uso improprio della sua infrastruttura venga indagato a fondo e che i responsabili siano chiamati a risponderne”.
Google non ha commentato direttamente i presunti rapporti societari, concentrandosi invece sul funzionamento della rete. I ricercatori dell’azienda hanno spiegato che NetNut supportava un modello di rivendita, grazie al quale altre aziende potevano commercializzare lo stesso servizio con marchi differenti. Secondo gli esperti, numerosi servizi di proxy residenziali attualmente disponibili deriverebbero proprio dalla stessa infrastruttura.
L’operazione ha portato al sequestro di centinaia di domini, alla disattivazione degli account utilizzati per il comando e controllo (C2) e all’aggiornamento di Google Play Protect, che ora identifica le applicazioni interessate dal componente compromesso. Le app contenenti l’SDK malevolo sono state inoltre disabilitate. Google ritiene che l’intervento coordinato abbia ridotto di milioni il numero di dispositivi disponibili per gli operatori della rete, limitando in modo sostanziale sia il funzionamento dell’infrastruttura sia le sue attività commerciali.
L’operazione rappresenta la prosecuzione delle iniziative già avviate nel gennaio 2026 contro la rete proxy IPIDEA e conferma una strategia che punta a colpire direttamente le infrastrutture utilizzate dai servizi proxy anziché limitarsi a perseguire chi le utilizza. Nelle prime fasi dell’intervento si è verificata una certa confusione sul sequestro dei domini: mentre il sito netnut.com mostrava l’avviso dell’FBI, netnut.io è rimasto raggiungibile per un breve periodo. I ricercatori hanno comunque chiarito che il vero obiettivo era l’infrastruttura di command-and-control, la cui interruzione ha compromesso il funzionamento della rete indipendentemente dalla disponibilità dei singoli siti web.
Hardware Ready Ready to Bench?