Google verstoort het residentiële NetNut-proxynetwerk met 2 miljoen thuisapparaten

Google is aanzienlijk verslechterd NetNuteen van de grootste netwerken die thuisapparaten verandert in gehuurde relais voor het verkeer van anderen.

In samenwerking met de FBI, Lumen en anderen zei de Threat Intelligence Group (GTIG) van Google deze week dat het de pool van bruikbare apparaten van het netwerk met miljoenen had verminderd.

Google identificeert NetNut, ook gevolgd als Popaals een netwerk dat zich over de hele wereld verspreidt over thuisapparaten, inclusief smart-tv’s en streamingboxen, en GTIG schat dat het netwerk minstens 2 miljoen apparaten bevat.

Als een van die apparaten bij u thuis aanwezig is, kunnen vreemden hun eigen verkeer via uw internetverbinding routeren en krijgt uw adres de schuld van wat ze ermee doen.

Hoe het werkt

Een residentieel proxynetwerk verkoopt toegang tot echte internetadressen thuis. Aanvallers betalen om hun verkeer via uw verbinding te leiden, zodat het lijkt op gewoon thuis browsen en niet op het datacenterverkeer dat beveiligingshulpmiddelen vaak blokkeren.

Om die pool op te bouwen, moeten operators hun code op thuisapparaten laten draaien. Bij sommige apparaten is het vooraf geïnstalleerd op goedkope hardware van een ander merk; anderen pikken het op wanneer iemand een gratis app installeert die het verbergt. Als het apparaat eenmaal actief is, wordt het een ‘exit-node’, een deuropening waar het verkeer van anderen doorheen stroomt.

Google zegt dat een exit-knooppunt verkeer van buitenaf binnen het thuisnetwerk brengt, waardoor aanvallers voet aan de grond krijgen om andere apparaten erop te bereiken. Sommige van deze gadgets voor thuis zijn ook opgenomen in grote aanvalsbotnets zoals Mirai en Badbox 2.0.

In één week in juni telde GTIG 316 verschillende bedreigingsclusters die vermoedelijke NetNut-exitknooppunten gebruikten, waaronder cybercriminelen en spionagegroepen, om hun echte locatie te verbergen en wachtwoord-raadsels uit te voeren.

Het bedrijf erachter

In tegenstelling tot de meeste proxy-botnets is NetNut terug te voeren op een beursgenoteerd bedrijf. In juni bonden onderzoekers van Qurium, Synthient, Nokia Deepfield en Spur Popa aan NetNut.

NetNut is een proxyprovider die eigendom is van het beursgenoteerde Israëlische bedrijf Alarum Technologies (NASDAQ: ALAR). In een gecontroleerde test zei Synthient dat het verkeer dat naar de commerciële gateway van NetNut werd gestuurd, naar buiten kwam via een apparaat dat het in Popa had geregistreerd.

Synthient beschouwde dat als bewijs van het verkeerspad, en niet als bewijs van wat NetNut wist of bedoelde. Google’s eigen inlichtingen komen overeen: het behandelt NetNut en Popa als hetzelfde netwerk, en zegt dat de openbare rapportage overeenkomt met zijn visie op hoe NetNut zijn botnet bouwt. The Hacker News berichtte over de bevindingen van de onderzoekers toen deze werden gepubliceerd.

Alarum wijst het label ‘botnet’ af. Het noemt het onderzoek “aantoonbaar onnauwkeurige beweringen en gebrekkige gevolgtrekkingen in plaats van geverifieerde feiten”, en zegt dat de software bedoeld is voor het met toestemming delen van bandbreedte, zonder dat dit de apparaten waarop het draait in gevaar brengt.

De tests van de onderzoekers compliceren die verdediging: Synthient meldde dat geen van de meer dan twintig onderzochte apps gebruikers daadwerkelijk een toestemmingsprompt liet zien.

Waarom één verwijdering niet genoeg is

Het afsnijden van NetNut is rommelig van opzet. NetNut heeft een resellerprogramma waarmee andere bedrijven hun netwerk onder hun eigen merknaam kunnen verkopen. Google zegt er veel vertrouwen in te hebben dat veel populaire, schijnbaar afzonderlijke proxymerken in werkelijkheid dezelfde NetNut-pool doorverkopen.

Eén enkele verwijdering treft dus veel merken die er onafhankelijk uitzien, maar dat niet zijn.

Dat is ook de reden waarom Google deze degradatie noemt, en niet een moord. Het zegt dat zijn eerdere actie tegen een vergelijkbaar IPIDEA-netwerk heeft aangetoond dat deze netwerken veerkrachtig kunnen lijken: exploitanten beginnen capaciteit van rivalen te kopen en worden in feite zelf wederverkopers. Echte, blijvende schade betekent volgens Google dat je achter meerdere aangesloten providers tegelijk aan moet gaan.

In januari ontwrichtten Google en partners IPIDEA, een in China gevestigd netwerk dat op zijn hoogtepunt een van de grootste in zijn soort was. In juli 2025 daagde Google de exploitanten van Badbox 2.0 voor de rechter, het botnet van gekaapte Android TV-apparaten waarvan de componenten overlappen met Popa. Elke keer bleken de netwerken koppig.

Wat consumenten moeten doen

Het duidelijkste waarschuwingssignaal is een app die aanbiedt u te betalen voor uw ‘ongebruikte bandbreedte’ of voor ‘het delen van uw internet’. Dat is een van de belangrijkste manieren waarop deze netwerken groeien.

Verder:

  • Blijf bij officiële appstores en controleer welke toestemmingen een VPN- of proxy-app vraagt.
  • Houd ingebouwde beveiligingen zoals Google Play Protect ingeschakeld.
  • Koop streamingboxen en smart tv-hardware van bekende fabrikanten, geen merkloze merken.

De vraag naar deze thuisadressen verdwijnt niet als een netwerk uitvalt; het beweegt gewoon. Voor verdedigers en platforms is het volgende signaal om in de gaten te houden of NetNut-gelinkt verkeer weer opduikt onder resellermerken.

Thijs Van der Does