2026-06-18 00:00
← VoltarNos últimos quatro anos, uma botnet baseada em Android chamada Popa forçou milhões de caixas de TV de consumo a retransmitirem o tráfego da Internet ligado a fraudes publicitárias, apropriações de contas e esforços de recolha de dados em massa. Esta semana, pesquisadores de diversas empresas de segurança concluíram que o botnet Popa está vinculado ao NetNut, um provedor de “proxy residencial” operado pela empresa israelense de capital aberto Alarum Technologies Ltd [NASDAQ: ALAR]. Popa é um botnet enorme, mas, segundo todos os relatos, é diferente dos botnets tradicionais que alistam sistemas comprometidos em atividades destrutivas, como a coordenação de enormes ataques distribuídos de negação de serviço. Em vez disso, o Popa parece projetado com um propósito único: implementar uma camada de comunicação persistente capaz de registrar um dispositivo, manter conexões criptografadas de longa duração e abrir túneis de comunicação sob demanda. Especialistas dizem que Popa é um componente de plug-in associado ao botnet Vo1d, uma campanha de malware em grande escala que visa caixas de TV não oficiais baseadas em Android. Esses dispositivos, comercializados sob milhares de marcas e números de modelos e amplamente disponíveis para compra nos principais destinos de comércio eletrônico, anunciam a capacidade de transmitir centenas de serviços de vídeo por assinatura por uma taxa única e antecipada. Mas, como alertaram repetidamente o FBI e os especialistas da indústria de segurança,...
Nos últimos quatro anos, uma botnet baseada em Android chamada Popa forçou milhões de caixas de TV de consumo a retransmitirem o tráfego da Internet ligado a fraudes publicitárias, apropriações de contas e esforços de recolha de dados em massa. Esta semana, pesquisadores de diversas empresas de segurança concluíram que o botnet Popa está vinculado ao NetNut, um provedor de “proxy residencial” operado pela empresa israelense de capital aberto Alarum Technologies Ltd [NASDAQ: ALAR]. Popa é um botnet enorme, mas, segundo todos os relatos, é diferente dos botnets tradicionais que alistam sistemas comprometidos em atividades destrutivas, como a coordenação de enormes ataques distribuídos de negação de serviço. Em vez disso, o Popa parece projetado com um propósito único: implementar uma camada de comunicação persistente capaz de registrar um dispositivo, manter conexões criptografadas de longa duração e abrir túneis de comunicação sob demanda. Especialistas dizem que Popa é um componente de plug-in associado ao botnet Vo1d, uma campanha de malware em grande escala que visa caixas de TV não oficiais baseadas em Android. Esses dispositivos, comercializados sob milhares de marcas e números de modelos e amplamente disponíveis para compra nos principais destinos de comércio eletrônico, anunciam a capacidade de transmitir centenas de serviços de vídeo por assinatura por uma taxa única e antecipada. Mas, como alertaram repetidamente o FBI e os especialistas da indústria de segurança, estas caixas de streaming normalmente incluem ou vêm pré-instaladas com software que transforma a TV do utilizador num “proxy residencial” – permitindo a qualquer pessoa encaminhar o seu tráfego de Internet através desse dispositivo, desde que este permaneça ligado a uma tomada de parede e a uma rede local. Mais preocupante, algumas dessas redes proxy pouco fazem para impedir que clientes mal-intencionados se comuniquem e até mesmo comprometam sistemas na rede local do proprietário desavisado do dispositivo.
As primeiras pistas sobre as origens do Popa vieram num relatório de 2025 da empresa de segurança chinesa XLAB, que sinalizou pelo menos nove nomes de domínio que foram usados para registar e direcionar as atividades de dispositivos comprometidos. Num relatório divulgado hoje, a empresa de segurança Qurium descreveu como se deparou com alguns desses mesmos domínios enquanto investigava uma série de eventos dispendiosos e dispendiosos de recolha de dados dirigidos às organizações hospedadas pela empresa em Maio de 2026, nos quais a actividade de recolha foi espalhada uniformemente por mais de 1,4 milhões de endereços de Internet. A Qurium disse que encontrou várias dezenas de domínios usados para controlar o Popa, todos hospedados em sincronia em vários endereços da Internet ao longo do tempo, incluindo gmslb[.]net, safernetwork[.]io, tera-home[.]com e ninjatech[.]io. Indo mais fundo, o Qurium descobriu que gmslb[.]net foi referenciado em dezenas de aplicativos de streaming de conteúdo de vídeo pirateados ou modificados, como CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob e HD/OceanStreams. O relatório do Qurium observa que a maioria dos domínios há muito usados para controlar o botnet Popa foram apreendidos ou desmantelados em julho de 2025, depois que Google, HUMAN Security e Trend Micro se uniram para interromper o Badbox 2.0, um botnet intimamente associado ao Vo1d. Qurium disse que imediatamente após essa interrupção, várias dezenas de novos domínios foram registrados para servir como controladores para o botnet Popa, mas que um desses domínios de controle não era novo: ninjatech[.]io. A Ninjatech é uma empresa fundada por Moishi Kramer, cujo perfil no LinkedIn diz que ele é vice-presidente de pesquisa e desenvolvimento da NetNut. Esse currículo credita Kramer por ajudar a NetNut a construir “do zero”, “projetar a arquitetura” e “escalar a NetNut” antes de a empresa ser adquirida pela Alarum Technologies.
Uma listagem criada por ele mesmo no quadro de empregos F6S faz referência a Kramer como o único proprietário do domínio Ninjatech (uma captura de tela dele é mostrada abaixo). Respondendo por e-mail, Kramer disse que a Ninjatech encerrou suas operações há aproximadamente cinco anos, quando a empresa vendeu um kit de desenvolvimento de software (SDK) chamado Popa, que foi projetado para usar uma pequena parte da largura de banda de um dispositivo e executar apenas um depois que o aplicativo host obteve o consentimento do usuário. “Esse código foi vendido e licenciado para terceiros, incluindo revendedores, anos atrás”, disse Kramer. “Uma vez que o software é distribuído dessa forma, o desenvolvedor original não tem controle sobre como outros posteriormente o modificarão, renomearão ou implantarão.” Kramer disse que nem ele nem a NetNut constroem, operam ou mantêm a infraestrutura descrita como Popa, nem controlam o domínio Ninjatech. “Não registrei os domínios de junho de 2025 que você mencionou e não sei quem o fez”, continuou ele. "Não tenho controle nem visibilidade sobre essa infraestrutura. Só posso dizer que ela não é operada por mim ou pela NetNut." Mas em um relatório de pesquisa separado da Popa divulgado hoje, a empresa de rastreamento de proxy Synthient disse que uma análise recente do SDK da Popa revelou tráfego de saída claramente associado ao NetNut. “A equipe de pesquisa avalia com alta confiança que os dispositivos que executam o Popa encaminham o tráfego dos clientes Netnut”, escreveu Synthient.
“Isso prova, sem sombra de dúvida, que Popa continua a ser usado ativamente pela NetNut como parte de seu pool de proxy.” A Alarum Technologies, controladora da NetNut com sede em Tel Aviv, disse que os relatórios da Synthient e Qurium continham “afirmações comprovadamente imprecisas e deduções erradas, em vez de fatos verificados”. Alarum compartilhou uma declaração dizendo que rejeita a caracterização básica dos SDKs e tecnologias discutidas nos relatórios como uma “botnet”. “Os SDKs em questão são projetados para facilitar a funcionalidade de compartilhamento de largura de banda e não transformam os dispositivos dos usuários em sistemas controlados por malware ou comprometem de outra forma os dispositivos nos quais operam”, diz o comunicado. “A Netnut opera uma rede comercial de proxy e mantém políticas, procedimentos e medidas tecnológicas destinadas a promover o uso legal e responsável de seus serviços.” Alarum disse que a NetNut coloca “ênfase significativa em mecanismos apropriados de notificação e consentimento, conduz a devida diligência do cliente, monitora possíveis usos indevidos e toma medidas destinadas a detectar e mitigar atividades suspeitas ou não autorizadas”. “Este método de operação é apoiado por procedimentos e políticas internas, incluindo a realização de verificações KYC e devida diligência adicional dos clientes da NetNut, bem como o emprego de várias medidas tecnológicas, projetadas para ajudar na identificação e tratamento de suspeitas de uso indevido da rede”, continuou a declaração. No entanto, em um relatório divulgado em 8 de junho, o serviço de rastreamento de proxy Spur afirmou que a NetNut não exige verificação corporativa ou procedimentos significativos de “conheça seu cliente” antes de permitir que os clientes adquiram acesso de proxy. “Um indivíduo pode se inscrever, pagar e rotear o tráfego através do espaço de endereço de parceiros, incluindo espaço pertencente a instituições cujos usuários nunca aceitaram”, escreveu Spur. “A afirmação de ‘somente empresas verificadas’ é simplesmente marketing para vendedores de largura de banda, não um controle de acesso sobre quem realmente usa os proxies.” “Nem o NetNut é a única porta de entrada”, continuou Spur.
"Vários revendedores e distribuidores de etiquetas brancas downstream reempacotam o mesmo pool de proxy do ISP sob suas próprias marcas. Esses pontos de venda normalmente não realizam nenhum KYC, menos escrutínio do que o próprio NetNut, que no mínimo pode atribuir um gerente de conta para usuários em potencial. Qualquer pessoa que saiba onde procurar pode comprar acesso por meio de um revendedor com nada mais do que um endereço de e-mail gravador e US$ 5 em criptografia." A Synthient descobriu que, embora as compilações mais recentes do Popa (há três meses) tenham adicionado a capacidade de pedir consentimento ao usuário antes de instalar componentes proxy, nem todas as variantes ou versões anteriores do Popa contêm essa funcionalidade. “Dos mais de 20 editores genuínos do Popa analisados, nenhum deles foi observado solicitando o consentimento do usuário”, escreveu Sythient. A PREVALÊNCIA DO POPA Chris Formosa é engenheiro-chefe sênior de segurança da informação do Black Lotus Labs, uma divisão da operadora de backbone da Internet Lumen Technologies. “O que torna Popa especialmente perigoso é o quão amplamente utilizado o NetNut é para revender e compartilhamento", disse Formosa, explicando que muitos outros serviços de proxy simplesmente revendem proxies NetNut em vez de construir suas próprias redes proxy extensas. "Portanto, esses IPs Popa aparecem em toneladas de serviços diferentes em todo o ecossistema, o que o torna um dos botnets proxy mais problemáticos e perigosos do mercado atualmente." Formosa disse que o botnet Popa tem em média entre 1,5 milhão e 2,5 milhões de endereços IP distintos por dia, contando com entre 250 e 300 endereços de Internet que são usados para direcionar suas atividades. “É por isso que Popa é tão perigoso”, disse Formosa.
“Pode não ser a maior botnet que já vimos, mas está espalhada por toda a indústria, tornando o seu poder muito amplificado.” Formosa disse que embora isso faça do Popa um dos maiores botnets existentes atualmente, seus números são insignificantes em comparação com aqueles anteriormente alardeados pela IPIDEA, um provedor de proxy com sede na China que até recentemente operava um pool diário de quase 10 milhões de dispositivos que revendiam como proxies para qualquer pessoa. Em janeiro de 2026, a Synthient publicou uma pesquisa mostrando que vários novos grandes botnets DDoS cresceram rapidamente, escavando túneis através de proxies IPIDEA nas redes locais de proprietários desavisados de caixas de TV e infectando outros dispositivos baseados em Android atrás do firewall do usuário. A IPIDEA é baseada principalmente em SDKs usados para visualizar conteúdo de streaming pirata em um grande número de dispositivos de TV, mas os números do serviço diminuíram desde janeiro, quando o Google e parceiros da indústria tomaram medidas legais para apreender nomes de domínio que a IPIDEA usava para controlar dispositivos e tráfego de proxy através deles. Jérôme Meyer, pesquisador de segurança da Nokia Deepfield, disse que a população total de dispositivos participantes da botnet Popa pode ser muito maior do que as estimativas da Lumen. Meyer disse ao KrebsOnSecurity que a Nokia está monitorando 26 dos pelo menos 359 nós de retransmissão conhecidos para o botnet e estima que cada nó de retransmissão lida com entre 35.000 e 60.000 clientes simultaneamente. “No subconjunto de nós de retransmissão que estou analisando (26 deles), 750.000 fontes únicas em 24 horas”, escreveu Meyer em resposta a perguntas. Nokia Deepfield divulgou hoje seu próprio relatório sobre RoboVPN, um aplicativo VPN vinculado ao plugin Popa do botnet Vo1d que Qurium atribui à NetNut/Alarum Technologies. A SIMBIOSE DE PROXIES E SCRAPING DE DADOS Especialistas dizem que muitos dos maiores provedores de proxy do mundo atualizaram sua marca voltada ao público para destacar sua utilidade no treinamento de plataformas de IA, o que implica que é um caso de uso principal para seus proxies residenciais.
Isso ocorre porque os serviços de IA tendem a depender da busca constante em massa da Internet em busca de novos textos, imagens e conteúdos de vídeo que possam ser usados para treinar grandes modelos de linguagem (LLMs). “As empresas de IA dependem de conteúdo extraído da web: para pré-treinamento, para recuperação, para aterramento de agentes, para pesquisa”, diz um relatório deste mês da Include Security que examina a prevalência de SDKs de proxy em aplicativos de TV inteligente. “Mas a web moderna não pode ser extraída de um datacenter. Cloudflare, DataDome, HUMAN, entre outros, limitam ou bloqueiam solicitações de IPs de nuvem conhecidos. A solução alternativa são proxies residenciais. Um trabalho de scraping roteado através da conexão de um assinante da Comcast ou da T-Mobile chega ao site de destino a partir de um IP que pertence a um cliente residencial pagante.” Esta recolha ininterrupta de conteúdos gerou mais de 70 processos judiciais por violação de direitos de autor contra grandes empresas tecnológicas que reconheceram a recolha de dados em grande escala como uma importante fonte dos “cérebros” por detrás das suas ofertas comerciais de IA. Ironicamente, grande parte dessa coleta está sendo auxiliada por serviços de proxy que estão intimamente ligados a caixas não oficiais de Android TV e SDKs associados, cujo objetivo declarado é transmitir conteúdo pirata. A atividade de raspagem tornou-se tão agressiva que muitas vezes sobrecarrega os sites visados, impedindo que sejam acessíveis a visitantes legítimos.
Em muitos casos relatados, organizações sem fins lucrativos, bibliotecas e universidades queixaram-se de lutar constantemente para manter os seus serviços online face à implacável recolha de dados. empresas se escondendo atrás de serviços de proxy residencial. Uma pesquisa realizada no ano passado pela Confederação de Repositórios de Acesso Aberto (COAR) descobriu que, embora alguns bots de coleta de conteúdo sejam bastante inócuos, “outros são suficientemente agressivos para causar cada vez mais interrupções de serviços em repositórios e outras infraestruturas de comunicação acadêmica”. Mais de 90% dos entrevistados indicaram que seu repositório encontra bots agressivos, geralmente mais de uma vez por semana, o que muitas vezes leva a lentidão e interrupções de serviço. “A web scraping automatizada não é novidade e tem sido a principal tecnologia subjacente a mecanismos de busca como o Google há mais de 30 anos”, escreveu Brendan O’Connell, gerente de plataforma do Directory of Open Access Journals (DOAJ), um índice gratuito e com curadoria comunitária de periódicos acadêmicos revisados por pares. “No entanto, a atual mania das startups de IA alimentadas por investidores significa que agora existem milhares de empresas bem financiadas desenvolvendo e implantando suas próprias ferramentas de scraping para treinar modelos de IA, ao lado de grandes players existentes como OpenAI e Google.” NÃO TOQUE NESTE DISCADOR! Nos Estados Unidos, as comunidades locais estão a resistir à proliferação de novos centros de dados destinados principalmente a melhorar as capacidades da IA. Mas especialistas em segurança dizem que o público em geral permanece em grande parte inconsciente de que usar uma dessas caixas de Android TV não autorizadas significa que sua “smart TV” está quase certamente usando uma quantidade significativa de largura de banda a cada mês para ajudar a treinar modelos modernos de IA.
Mesmo as famílias sem essas caixas de TV incompletas ainda podem ter suas TVs inteligentes transformadas em nós proxy residenciais, apenas baixando um dos milhares de aplicativos disponibilizados nas TVs inteligentes Samsung e LG. Spur disse que recentemente vasculhou as lojas de aplicativos LG e Samsung e descobriu que cada uma tinha aproximadamente 3.000 aplicativos disponíveis para download. Muitos desses aplicativos são jogos ou utilitários simples que afirmam em letras miúdas que a conexão de Internet do usuário será usada para baixar dados e que ele pode cancelar a qualquer momento. Spur disse ter descoberto que mais de 42 por cento dos aplicativos disponíveis para download através do sistema operacional webOS nas smart TVs LG incluem SDKs que transformam a televisão em um nó proxy residencial sempre ligado. Mais de um quarto dos aplicativos criados para o sistema operacional Tizen da Samsung tinham componentes de proxy residencial semelhantes, descobriu Spur. Especialistas dizem que é questionável se os aplicativos de TV com SDKs de proxy podem obter consentimento significativo dos usuários para instalar uma conexão proxy sempre ativa, especialmente quando qualquer pessoa em uma casa – incluindo crianças – pode efetivamente incluir a TV da família em uma rede proxy residencial apenas instalando um simples jogo ou aplicativo. “A divulgação da política de privacidade é a superfície de controle errada para uma TV”, escreveu a Include Security. “É difícil percorrer um documento legal navegado pelas teclas de seta em um controle remoto, e a caixa de diálogo de consentimento no aplicativo não indica que um cliente pagante está prestes a encaminhar seu tráfego de raspagem pela Internet doméstica do usuário.” O chefe de pesquisa do Spur, Sean Simmons, disse ao KrebsOnSecurity que a maioria das pessoas não tem um modelo mental funcional sobre o que significa vender acesso ao seu endereço IP residencial, independentemente do dispositivo que estejam usando.
“E na TV, a diferença é ainda maior”, disse Simmons. “Um prompt único navegado com um controle remoto pode desaparecer no fluxo de configuração, enquanto o aplicativo continua monetizando a conexão muito depois de alguém se lembrar do que aceitou.” Simmons disse que a LG e a Samsung deveriam seguir o exemplo de outras plataformas de TV que já traçaram um limite contra os provedores de proxy residenciais, apontando para as políticas da Amazon que proíbem aplicativos que facilitam serviços de proxy para terceiros. Da mesma forma, o fabricante de dispositivos de streaming de TV Roku agora proíbe os desenvolvedores de usar SDKs de proxy e removeu os aplicativos que os agrupavam. Os aplicativos que transformam o dispositivo em um nó proxy residencial não se limitam a smart TVs e caixas de streaming sem nome, é claro. Conforme observado pela empresa de segurança Infoblox, os desenvolvedores de aplicativos móveis podem incorporar SDKs fornecidos pelas redes proxy residenciais em seus produtos para monetizar seu software, permitindo-lhes receber uma pequena quantia em cada instalação. O resultado, disse a Infoblox, é que os dispositivos são frequentemente registrados sem o conhecimento do proprietário, normalmente por meio de aplicativos gratuitos, como VPNs, aplicativos de streaming, protetores de tela e aplicativos de “produtividade”, como visualizadores de PDF e lembretes de intervalo. Com muita frequência, esses serviços de proxy são provenientes de dispositivos de funcionários trazidos para o local de trabalho, descobriu a Infoblox. Em uma postagem no blog no início deste mês, a Infoblox disse que descobriu que 65% de sua base de clientes estava consultando um ou mais domínios relacionados a proxy residencial.
“Vimos um crescimento constante nessas consultas em 2025, com um aumento de 25% ao longo do ano, para mais de 500 bilhões por mês”, escreveu a Infoblox. "Mais de 90% dos nossos clientes farmacêuticos e de alimentos e bebidas consultaram indicadores proxy residenciais. Talvez ainda mais preocupante é que mais de 60% dos clientes governamentais e bancários também o fizeram." Os pesquisadores da Infoblox Nick Sundvall e David Brunsdon alertaram que com proxies residenciais no ambiente corporativo, o acesso externo é concedido ao espaço IP de uma organização. “Se os agentes da ameaça abusassem do proxy residencial para atacar terceiros, a resposta do terceiro ao incidente identificaria, corretamente, o seu proxy residencial como a fonte”, escreveram eles. "Desvendar isso, ao provar que você era o canal e não o ator da ameaça, custa tempo, cria exposição legal e pode prejudicar sua reputação. A impressionante prevalência desses serviços nos ambientes dos clientes merece atenção tanto dos defensores da rede quanto dos formuladores de políticas, que devem considerar como os riscos representados pelos proxies residenciais podem estar impactando sua postura de segurança."