A Google az FBI-jal, a Lumennel és más partnerekkel együttműködésben összehangolt műveletet hajtott végre a NetNut, más néven Popa lakossági proxyhálózat ellen. Az akció a 2026 januárjában megzavart IPIDEA-hálózat elleni fellépés folytatásának tekinthető, és illeszkedik a Google azon törekvéséhez, hogy visszaszorítsa a rosszindulatú lakossági proxyökoszisztémákat.
A művelet során a Google letiltotta azokat a fiókokat és kapcsolódó szolgáltatásokat, amelyeket a NetNut kártevők command and control, vagyis C2-kommunikációjára használt. Emellett technikai információkat osztott meg a NetNut SDK-król és háttér-infrastruktúrájáról a platformszolgáltatóknak, bűnüldöző szerveknek és kutatócégeknek. A Google Play Protect automatikusan figyelmeztette a felhasználókat, és letiltotta azokat az Android-alkalmazásokat, amelyek ismerten NetNut SDK-t tartalmaztak.
A Google értékelése szerint az akció jelentősen gyengítette a NetNut proxyhálózatát és üzleti működését, több millió eszközzel csökkentve a hálózat rendelkezésére álló kapacitását. A vállalat szerint a NetNut nemcsak saját márkanév alatt értékesített hozzáférést a hálózathoz, hanem white-label viszonteladói modellben is működött, így több ismert lakossági proxybrand valójában a NetNut botnetjére épülhetett.
A NetNut a Google Threat Intelligence Group becslése szerint legalább 2 millió eszközből álló, globálisan elosztott hálózatot működtetett. A hálózatot részben olyan SDK-k terjesztésével bővítették, amelyek otthoni eszközökre, például okostévékre és streaming boxokra kerültek.
A lakossági proxyhálózatok lényege, hogy a támadók internetszolgáltatókhoz tartozó, legitimnek tűnő lakossági IP-címeken keresztül irányíthatják forgalmukat. Ez lehetővé teszi számukra a forrásuk elrejtését, például áldozati rendszerek elérésekor, saját infrastruktúrájuk használatakor vagy jelszószórásos támadások végrehajtásakor. A felhasználói oldalon ez komoly kockázatot jelent: az érintett otthoni IP-cím gyanússá válhat, a legitim forgalmat blokkolhatják, és a fertőzött eszközön áthaladó jogosulatlan forgalom más, ugyanazon hálózaton lévő eszközöket is károsíthat.
A GTIG 2026 júniusában egyetlen hét alatt 316 különálló fenyegetési klasztert figyelt meg, amelyek feltételezett NetNut kilépési pontokat használtak. Ezek között kiberbűnözői és kiberkémkedési szereplők is voltak. Nyilvános kutatások szerint a NetNut infrastruktúráját Mirai DDoS-botnet variánsokkal fertőzött eszközök esetében is használták.
A felhasználóknak javasolt különösen óvatosnak lenniük azokkal az alkalmazásokkal, amelyek fizetséget kínálnak „kihasználatlan sávszélesség” vagy „internetmegosztás” fejében. Az ilyen megoldások gyakran a rosszindulatú proxyhálózatok növekedésének eszközei lehetnek. Biztonsági szempontból továbbra is javasolt a hivatalos alkalmazásboltok használata, a harmadik féltől származó VPN- és proxyalkalmazások engedélyeinek ellenőrzése, valamint a beépített védelmi funkciók, például a Google Play Protect bekapcsolva tartása.
A Google szerint a lakossági proxy iparág gyorsan növekszik, és a szereplők infrastruktúrája erősen összekapcsolódik. Emiatt az egyszeri fellépések önmagukban nem elegendők: hosszú távon folyamatos, iparági szintű együttműködésre, a hírszerzési információk megosztására és a rosszindulatú C2-infrastruktúrák célzott blokkolására van szükség.
