Google与FBI联手捣毁NetNut代理僵尸网络 超过200万台智能设备被劫持

Google威胁情报小组、FBI及行业合作伙伴联合捣毁了NetNut,这是一个庞大的住宅代理网络,秘密劫持了超过200万台智能电视、流媒体设备和安卓设备,用于洗白网络犯罪流量。

该僵尸网络又名Popa,通过木马化应用和Badbox 2.0等恶意软件感染设备,感染范围从杂牌安卓电视盒子到数码相框和车载信息娱乐系统,无所不包。设备一旦被攻陷,就会被征用为住宅代理,允许订阅用户通过无辜房主的IP地址路由恶意流量。

行动规模。 在2026年6月的单周内,Google观察到316个不同的威胁集群使用了疑似NetNut的出口节点,其中包括网络犯罪团体和间谍组织。客户利用该网络在密码喷洒攻击中隐藏原始IP地址、访问受害者环境,并掩盖其对被攻陷基础设施的使用。

NetNut与以色列上市公司Alarum Technologies存在关联。法律顾问Omer Weiss表示,该公司已知晓FBI的查封行动,并正在配合调查。

捣毁方式。 Google禁用了NetNut用于恶意软件命令和控制的账户和服务,通过Google Play Protect禁用被感染应用,向受害者推送警告,并将NetNut软件开发工具包的相关技术情报分享给平台提供商和执法部门。FBI查封了与该网络相关的多个域名。

「我们相信,我们的协调行动已对NetNut的代理网络及其业务运营造成了重大损害,使代理运营商可用的设备池减少了数百万台,」Google表示。

此次行动是系列类似打击行动的最新一例。Google此前曾针对最初的Badbox行动,并对住宅代理运营商提起法律诉讼。KrebsOnSecurity和Synthient均在此次捣毁行动前发表了将Popa与NetNut及Alarum Technologies联系起来的证据。

来源: KrebsOnSecurity,SecurityWeek,Google威胁情报小组

婷 翻译

Scroll to Top