O botnet Popa, ativo há quatro anos, transforma dispositivos Android como boxes de streaming piratas em proxies residenciais maliciosos. Esses aparelhos, vendidos em massa no e-commerce, servem para fraudar anúncios, roubar contas e realizar scraping em larga escala com 1,4 milhão de IPs detectados. Diferente de botnets DDoS tradicionais, o Popa prioriza túneis persistentes que expõem redes locais de usuários comuns a invasores sem conhecimento prévio.

Em resumo

A operação gera receita via serviços de proxy vendidos por empresas como a NetNut, listada na Nasdaq e sediada em Israel. O botnet explora vulnerabilidades em firmwares desatualizados para manter persistência, evitando detecções comuns. Essa estrutura foca em fraudes publicitárias e coleta de dados, impactando ecossistemas IoT domésticos.

Detalhes da Operação

O Popa infecta dispositivos via downloads maliciosos em sites de e-commerce, transformando-os em nós de proxy que mascaram tráfego malicioso como residencial legítimo. A NetNut, provedora de proxies, comercializa IPs aparentemente limpos extraídos dessa rede, alimentando demandas de scraping e evasão de bloqueios. Pesquisadores identificaram conexões diretas entre servidores do botnet e infraestrutura da empresa, levantando questões sobre compliance em listagens públicas. Usuários de set-top boxes piratas enfrentam riscos de exposição de dados pessoais e redes locais comprometidas.

E
Exemplo de TV boxes usados como proxies no botnet

Contexto de Mercado

Empresas de proxies residenciais crescem em um mercado bilionário impulsionado por IA e big data, mas associações com botnets minam a credibilidade do setor. A NetNut enfrenta escrutínio regulatório potencial após a exposição pela Krebs on Security, podendo afetar valuation na Nasdaq e atrair investigações de cibersegurança. Consumidores de IoT barato devem priorizar atualizações e autenticação forte para mitigar esses vetores. O caso reforça a urgência de padrões de segurança em dispositivos conectados, onde falhas em um único aparelho propagam ameaças globais. No longo prazo, isso pressiona fabricantes e revendedores a investir em vetting de firmware, alterando dinâmicas de supply chain no ecossistema Android.