Kiedy Państwa telewizor z funkcją smart TV służy potajemnie jako przykrywka dla przestępców

Firma Google, we współpracy z FBI, operatorem sieci Lumen oraz innymi partnerami, zlikwidowała sieć proxy NetNut, znaną również jako Popa. To, co sprawia, że sprawa ta jest nietypowa, to fakt, iż dotyczy ona zwykłych gospodarstw domowych. Znaczną część zainfekowanych urządzeń stanowią telewizory smart oraz urządzenia do strumieniowego przesyłania treści znajdujące się w domach użytkowników. Według szacunków grupy Google Threat Intelligence Group z https://cloud.google.com/blog/topics/threat-intelligence/google-continued-disruption-residential-proxy-networks, sieć NetNut obejmowała co najmniej dwa miliony urządzeń na całym świecie.
Co sieć proxy ma wspólnego z Państwa telewizorem
Sieć proxy typu residential oferuje możliwość kierowania ruchu przez adresy IP zwykłych domowych połączeń internetowych. Przestępcy wykorzystują to do ukrycia swojego pochodzenia za niepozornym adresem IP z sieci domowej. Aby to działało, fragment kodu musi być uruchomiony na jak największej liczbie urządzeń w domach, przekształcając je w węzły wyjściowe. Kod ten trafia na urządzenia znajdujące się w wielu gospodarstwach domowych za pośrednictwem tzw. zestawów SDK, zwłaszcza na telewizory smart i urządzenia do strumieniowego przesyłania treści, jak KrebsOnSecurity w swoich badaniach. Złośliwe oprogramowanie dociera do urządzenia na jeden z dwóch sposobów. Albo jest ono preinstalowane przed zakupem, albo użytkownicy nieświadomie pobierają aplikację zawierającą ukryty kod proxy.
Dlaczego jest to niebezpieczne dla osób, których to dotyczy
Jeśli Państwa urządzenie stanie się węzłem wyjściowym, ruch innych osób będzie przechodził przez Państwa domowe łącze. Pański adres IP może wówczas zostać wykorzystany jako punkt wyjścia do ataków, prób łamania haseł lub oszustw. Dla osób dotkniętych tym problemem oznacza to, że ich własny, legalny ruch może zostać oznaczony jako podejrzany lub zablokowany przez dostawcę usług. Atakujący mogą również wykorzystać przejęty węzeł do uzyskania dostępu do innych urządzeń w tej samej sieci domowej. W ciągu jednego tygodnia czerwca 2026 r. firma Google zidentyfikowała 316 różnych grup atakujących korzystających z węzłów NetNut, w tym cyberprzestępców i podmioty zajmujące się szpiegostwem. Firmy zajmujące się bezpieczeństwem, takie jak Synthient, Spur i Nokia Deepfield, udokumentowały również, że NetNut był wykorzystywany do infekowania urządzeń wariantami botnetu DDoS Mirai.
Działania podjęte przez Google
Google zablokowało konta i usługi wykorzystywane przez NetNut do sterowania złośliwym oprogramowaniem oraz udostępniło organom ścigania i firmom zajmującym się bezpieczeństwem szczegóły techniczne dotyczące zestawów SDK i infrastruktury. Google Play Protect, wbudowany system ochrony Android, automatycznie ostrzega obecnie użytkowników o aplikacjach zawierających kod NetNut i blokuje je. Według Google’a pozwoliło to zmniejszyć pulę dostępnych urządzeń o miliony. Nie jest to jednak rozwiązanie samowystarczalne. NetNut prowadzi program partnerski, który umożliwia innym dostawcom odsprzedaż tej samej sieci botnetowej pod własną nazwą. Google spodziewa się, że operatorzy będą kupować przepustowość od konkurencji, gdy ich własna sieć zacznie tracić na wydajności.
Jak chronić swoje urządzenia Należy
zachować ostrożność w przypadku aplikacji, które obiecują wynagrodzenie za udostępnianie niewykorzystanej przepustowości. Właśnie w ten sposób rozrastają się tego typu sieci. Firma Google zaleca korzystanie wyłącznie z oficjalnych sklepów z aplikacjami, sprawdzanie uprawnień aplikacji VPN i proxy innych producentów oraz utrzymywanie włączonej funkcji Play Protect. Przy zakupie urządzeń do strumieniowego przesyłania treści lub dekoderów należy wybierać produkty renomowanych producentów. Informację o tym, czy urządzenie z systemem „ Android ” posiada certyfikat Play Protect, można sprawdzić bezpośrednio w serwisie Google. W przypadku telewizorów lista certyfikowanych partnerów znajduje się na stronie Android TV.




