Когда ваш «умный» телевизор незаметно служит прикрытием для преступников

Компания Google совместно с ФБР, сетевым оператором Lumen и другими партнерами ликвидировала прокси-сеть NetNut, также известную как Popa. Необычность данного случая заключается в том, что он затрагивает обычные домашние хозяйства. Значительную долю скомпрометированных устройств составляют «умные» телевизоры и стриминговые приставки, установленные в домах пользователей. Согласно оценке группы Google Threat Intelligence, занимающейся анализом угроз ( ), сеть NetNut охватывала не менее двух миллионов устройств по всему миру.
Какое отношение прокси-сеть имеет к вашему телевизору
Прокси-сеть, работающая на базе домашних подключений, предоставляет возможность маршрутизировать трафик через IP-адреса обычных домашних интернет-соединений. Преступники используют это для маскировки своего происхождения за неприметным домашним IP-адресом. Чтобы это сработало, фрагмент кода должен запускаться на как можно большем количестве домашних устройств, превращая их в выходные узлы. Этот код попадает на устройства, имеющиеся во многих домохозяйствах, через так называемые SDK, в особенности на смарт-телевизоры и стриминговые приставки, как KrebsOnSecurity в ходе собственного исследования. Вредоносное ПО попадает на устройство одним из двух способов: либо оно предустановлено до покупки, либо пользователи неосознанно загружают приложение со скрытым прокси-кодом.
Почему это опасно для тех, кто подвергся воздействию
Если ваше собственное устройство становится выходным узлом, трафик других людей проходит через ваше домашнее подключение. В результате ваш собственный IP-адрес может быть использован в качестве отправной точки для атак, взлома паролей или мошенничества. Для пострадавших это означает, что их собственный законный трафик может быть помечен как подозрительный или заблокирован провайдером. Злоумышленники также могут использовать угнанный узел для доступа к другим устройствам в той же домашней сети. За одну неделю в июне 2026 года компания Google насчитала 316 различных групп злоумышленников, использующих узлы NetNut, в том числе киберпреступников и шпионов. Компании, специализирующиеся на безопасности, такие как Synthient, Spur и Nokia Deepfield, также зафиксировали, что NetNut использовался для заражения устройств вариантами DDoS-ботнета Mirai.
Что предприняла компания Google
Google заблокировала учетные записи и сервисы, которые NetNut использовала для управления своим вредоносным ПО, а также предоставила властям и компаниям, занимающимся вопросами безопасности, технические сведения об SDK и инфраструктуре. Google Play Protect, встроенная система защиты Android, теперь автоматически предупреждает пользователей о приложениях, содержащих код NetNut, и блокирует их. По данным Google, это сократило доступный пул устройств на миллионы. Однако это не является самодостаточным решением. NetNut реализует партнерскую программу, позволяющую другим провайдерам перепродавать тот же ботнет под собственными именами. Google ожидает, что операторы начнут закупать пропускную способность у конкурентов, как только их собственная сеть начнёт ослабевать.
Как защитить свои устройства
Будьте осторожны с приложениями, обещающими денежное вознаграждение за предоставление неиспользуемой пропускной способности. Именно так и растут подобные сети. Google рекомендует пользоваться только официальными магазинами приложений, проверять права доступа сторонних приложений VPN и прокси, а также держать функцию Play Protect включённой. При покупке стриминговых устройств или телевизионных приставок следует отдавать предпочтение проверенным производителям. Проверить, имеет ли устройство Android сертификат Play Protect, можно непосредственно на сайте Google. Что касается телевизоров, на сайте Android TV приведён список сертифицированных партнёров.




