Botnet ‘Popa’ vinculado a empresa israelense de capital aberto

Nos últimos quatro anos, uma botnet baseada em Android chamada Popa forçou milhões de caixas de TV de consumo a retransmitirem o tráfego da Internet ligado a fraudes publicitárias, apropriações de contas e esforços de recolha de dados em massa. Esta semana, pesquisadores de diversas empresas de segurança concluíram que o botnet Popa está vinculado ao NetNut, um provedor de “proxy residencial” operado pela empresa israelense de capital aberto Alarum Technologies Ltd [NASDAQ: ALAR].

Nos últimos quatro anos, uma botnet baseada em Android forçou milhões de caixas de TV de consumo a retransmitir o tráfego da Internet ligado a fraudes publicitárias, apropriações de contas e esforços de coleta de dados em massa. Esta semana, investigadores de várias empresas de segurança concluíram que a botnet Popa está ligada a um fornecedor de “proxy residencial” operado pela empresa israelita de capital aberto.

Dispositivos de streaming maliciosos vendidos on-line que registram o endereço residencial do usuário na Internet em um serviço de proxy residencial. Segurança HUMANA.

Popa é um botnet enorme, mas, segundo todos os relatos, é diferente dos botnets tradicionais que alistam sistemas comprometidos em atividades destrutivas, como a coordenação de enormes ataques distribuídos de negação de serviço. Em vez disso, o Popa parece projetado com um propósito único: implementar uma camada de comunicação persistente capaz de registrar um dispositivo, manter conexões criptografadas de longa duração e abrir túneis de comunicação sob demanda.

Especialistas dizem que Popa é um componente de plug-in associado ao botnet, uma campanha de malware em grande escala que visa caixas de TV não oficiais baseadas em Android. Esses dispositivos, comercializados sob milhares de marcas e números de modelos e amplamente disponíveis para compra nos principais destinos de comércio eletrônico, anunciam a capacidade de transmitir centenas de serviços de vídeo por assinatura por uma taxa única e antecipada.

Mas, como alertaram repetidamente o FBI e os especialistas do setor de segurança, essas caixas de streaming geralmente vêm com software pré-instalado ou empacotado que transforma a TV do usuário em um “.

"- permitindo que qualquer pessoa direcione seu tráfego de Internet através desse dispositivo enquanto ele permanecer conectado a uma tomada de parede e a uma rede local. Mais preocupante, algumas dessas redes proxy fazem pouco para impedir que clientes mal-intencionados se comuniquem e até mesmo comprometam sistemas na rede local do proprietário desavisado do dispositivo.

As primeiras pistas sobre as origens do Popa vieram da empresa de segurança chinesa, que sinalizou pelo menos nove nomes de domínio que foram usados para registrar e direcionar as atividades de dispositivos comprometidos. Em um comunicado divulgado hoje, a empresa de segurança descreveu como se deparou com alguns desses mesmos domínios enquanto investigava uma série de eventos dispendiosos e perturbadores de coleta de dados direcionados às organizações hospedadas pela empresa em maio de 2026, nos quais a atividade de coleta foi espalhada uniformemente por mais de 1,4 milhão de endereços da Internet.

A Qurium disse que encontrou várias dezenas de domínios usados para controlar o Popa, todos hospedados em sincronia em vários endereços da Internet ao longo do tempo, incluindo safernetwork[.]io, tera-home[.]com e.

As informações são do site Krebs on Security

Compartilhe este artigo

Continue lendo

Voltar ao Blog