Google 和 FBI 破坏了与 200 万台家庭设备绑定的 NetNut 住宅代理网络

谷歌表示,在发现 NetNut 住宅代理网络(也称为 Popa)依赖于全球至少 200 万台家庭设备后,该网络已被中断。

据该公司称,该公司与 FBI、Lumen 和其他合作伙伴合作,将 NetNut 可用的设备池减少了数百万台。谷歌威胁情报小组.

该行动针对的是用于操作代理网络的帐户、服务、软件开发工具包以及后端命令和控制基础设施。据报道,FBI 还查获了与 NetNut 和 Popa 僵尸网络相关的域名克雷布斯论安全.

谷歌表示,它禁用了 NetNut 用于恶意软件命令和控制活动的谷歌帐户和相关服务。它还与执法部门、平台提供商和安全研究人员共享技术情报。

Google Play Protect 已更新,可警告用户并禁用已知包含 NetNut SDK 的应用程序。该公司表示,这种保护将继续阻止未来涉及这些已知组件的安装尝试。

此次行动是在 Google 于 2026 年 1 月中断另一个大型住宅代理网络 IPIDEA 的基础上进行的。谷歌表示,代理行业仍然紧密相连,运营商经常在自己的网络缩小时从竞争对手那里购买容量。

细节报道了什么
目标网络NetNut,也被追踪为 Popa
预计尺寸全球至少有 200 万台设备
参与合作伙伴Google、FBI、Lumen、Shadowserver 等
主要动作帐户被禁用、域名被查封、情报共享、应用程序被阻止
主要风险家庭设备用作网络犯罪和间谍活动的代理出口节点

为什么住宅代理网络很危险

住宅代理网络通过真实的消费者互联网连接路由流量。这使得恶意活动看起来像是来自普通家庭用户,而不是攻击者控制的基础设施。

这些网络可以支持撞库、密码喷洒、广告欺诈、抓取、帐户接管以及试图隐藏间谍活动。谷歌表示,2026 年 6 月的一周内,可疑的 NetNut 出口节点被 316 个不同的威胁集群使用。

根据路透社谷歌表示,它削弱了用于隐藏和路由恶意在线流量的互联网连接设备网络。

家庭设备如何成为代理节点

谷歌表示,家庭设备可以通过预装的恶意软件或包含隐藏代理代码的应用程序进入代理网络。公开报告中经常提到的设备包括智能电视、流媒体盒和其他基于 Android 的消费硬件。

这意味着许多所有者可能没有意识到他们的设备已注册到其他人的代理服务中。一旦注册,他们的家庭 IP 地址就可以承载来自未知外部用户的流量。

这可能会给家庭带来直接问题。谷歌警告称,如果家庭 IP 地址与滥用活动相关,合法用户流量可能会被互联网提供商和在线服务标记为可疑或被阻止。

  • 廉价或非官方的流媒体盒可能带有隐藏软件。
  • 盗版流媒体应用程序可以捆绑不需要的代理组件。
  • 为未使用的带宽提供付费的应用程序可能会带来安全风险。
  • 代理节点可能会使同一家庭网络上的其他设备面临威胁。
  • 家庭 IP 地址可用于掩盖网络犯罪或间谍流量。

FBI 扣押行动让 NetNut 面临更大压力

FBI 扣押通知取代了 NetNut 相关基础设施,而国税局刑事调查部门也在公开报告中得到了认可。 KrebsOnSecurity 报告称,此次查获涉及与 NetNut 和 Popa 僵尸网络相关的数百个域名。

NetNut 由以色列上市公司 Alarum Technologies 运营。路透社报道称,Alarum 表示,其已获悉 FBI 扣押了部分域名,并将与执法部门合作。

Alarum 对公开报告中对僵尸网络的描述提出了异议,称其会严肃对待滥用行为。然而,谷歌和几家安全公司已将 NetNut 基础设施与受感染或在不知不觉中注册的消费设备连接起来。

NetNut 被广泛转售

谷歌表示,NetNut 运营着一项经销商计划,允许其他代理品牌对其网络进行白标。该公司表示,它非常有信心许多受欢迎的住宅代理品牌正在重新包装 NetNut 僵尸网络。

这很重要,因为关闭一个品牌名称可能无法消除所有相关的滥用行为。如果经销商依赖相同的底层设备池,中断可能会同时波及多个代理服务。

与此同时,谷歌警告住宅代理运营商可以适应。 IPIDEA 受到干扰后,一些运营商似乎从竞争对手那里购买代理容量,将自己变成其他网络的经销商。

安全公司将 Popa 连接到 NetNut

在被删除之前,公开调查有助于引起人们对 NetNut 和 Popa 之间关系的关注。克雷布斯论安全报道称,多家安全公司已将 Popa 僵尸网络与 NetNut 和 Alaram Technologies 连接起来。

报告将 Popa 描述为至少 200 万台设备的集合,而受害者很少或根本没有同意。然后,这些设备被用作始终在线的住宅代理节点。

谷歌自己的帖子称,经谷歌证实,KrebsOnSecurity 和其他人的公开报告显示,NetNut 通过家庭常见设备上使用的 SDK 填充其僵尸网络。

设备所有者应该做什么

谷歌建议消费者避免使用承诺为未使用的带宽或互联网共享付费的应用程序。这些应用程序可以将设备变成代理节点,并为更广泛的家庭网络带来安全问题。

用户应坚持使用官方应用程序商店,检查 VPN 和代理应用程序的权限,并保持内置安全工具处于活动状态。 Android 用户可以关注 GoogleGoogle Play 保护指导检查保护是否启用。

谷歌还表示,买家应选择信誉良好的联网设备,并确认 Android TV 设备是否经过 Play Protect 认证。公司设有官方安卓电视页面列出合作伙伴品牌。

可能涉及设备的迹象

普通用户很难发现住宅代理感染。当在后台路由第三方流量时,设备可能仍会正常流式传输视频或运行应用程序。

警告信号可能包括异常网络活动、家庭 IP 地址被网站阻止、重复的验证码提示、路由器流量峰值、未知应用程序或无法接收可信更新的流媒体盒。

怀疑受到攻击的用户应断开设备连接、删除可疑应用程序、重置设备(如果可能)、更新固件,并考虑更换来自未知制造商的硬件。

设备或应用程序类型风险建议采取的行动
非官方 Android 电视盒可能包含预安装的恶意软件或隐藏的代理组件仅使用信誉良好的认证设备
盗版流媒体应用程序可以捆绑不需要的 SDK 或代理代码删除它们并避免侧面加载
带宽共享应用程序可以通过本地连接路由未知流量除非完全了解风险,否则应避免
未知的 VPN 或代理应用程序可以暴露浏览和网络流量检查权限并卸载可疑应用程序

谷歌称战斗尚未结束

NetNut 行动标志着打击住宅代理滥用的又一重大举措,但谷歌表示,该行业仍然流动且相互联系。运营商可以重建、转售容量或转移到其他基础设施。

谷歌威胁情报小组表示持久影响将需要针对多个互联提供商采取协调行动,而不仅仅是一次针对一个网络。

对于消费者来说,实用的建议很简单。保持播放保护启用,避免未知的流媒体应用程序,并从官方列出的可信品牌购买连接设备安卓电视渠道。

FAQ

什么是NetNut?

NetNut 是由 Alarum Technologies 运营的住宅代理网络。 Google 和安全研究人员已将 NetNut 与 Popa 联系起来,Popa 是一个由至少 200 万台家庭设备组成的大型代理僵尸网络。

Google彻底拆除了NetNut吗?

谷歌表示,它极大地降低了 NetNut 的代理网络性能,并使可用设备池减少了数百万台。公开报道还称,联邦调查局查获了与 NetNut 和 Popa 相关的域名,但谷歌警告说,代理运营商可以通过转售和共享基础设施来适应。

NetNut 代理网络涉及多少台设备?

谷歌威胁情报小组估计,NetNut 网络包括全球至少 200 万台设备。其中包括智能电视和流媒体盒等消费设备。

为什么住宅代理网络很危险?

住宅代理网络可以通过正常的家庭互联网连接路由流量。攻击者在密码喷洒、帐户接管尝试、抓取、广告欺诈和其他恶意活动中使用它们来隐藏自己的真实位置。

用户如何保护家庭设备免受代理恶意软件的侵害?

用户应避免未知的流媒体应用程序、盗版应用程序以及为共享未使用的带宽提供付费的应用程序。他们还应该使用官方应用商店、保持 Play Protect 启用、更新设备并选择信誉良好的认证流媒体硬件。