El FBI, en asociación con Google y otras empresas de tecnología, asestó un duro golpe a NetNut, un servicio proxy de crimson residencial de acceso público que albergaba en secreto una botnet que controlaba aproximadamente 2 millones de televisores Android y dispositivos domésticos inteligentes similares. La crimson se estaba utilizando para la pulverización de contraseñas, ataques de credenciales y otras actividades maliciosas.
Las botnets proxy residenciales hacen que el tráfico malicioso parezca un uso regular de Web, lo que permite que los ciberdelincuentes secuestren en secreto los dispositivos cotidianos para realizar actividades ilegales utilizando la Web de su hogar. Los dispositivos domésticos infectados a menudo estaban precargados con software program malicioso utilizado por la botnet, lo que hacía que las prácticas tradicionales de seguridad doméstica fueran menos efectivas para detectar y detener el problema.
Según una declaración del FBI enviada por correo electrónico a CNET, el 2 de julio, la agencia federal llevó a cabo «una incautación autorizada por el tribunal de múltiples dominios como parte de una acción policial coordinada con el Departamento de Justicia y la Investigación Legal del IRS dirigida a la infraestructura asociada con la plataforma de proxy residencial NetNut, sus administradores y usuarios».
Autoridades trabajó en tándem con Google, Lumen Applied sciences y la Fundación Shadowserver para perseguir a NetNut y sus servicios, también conocida como la botnet Popa por los investigadores de seguridad. Google dijo en una publicación de blog que las acciones «causaron una degradación significativa de la crimson proxy de NetNut y sus operaciones comerciales, reduciendo en millones el conjunto de dispositivos disponibles para el operador proxy». El sitio net de NetNut ahora muestra un aviso de eliminación del FBI.
Google reconoció que acabar con NetNut es sólo el primer paso. Debido a que estas redes proxy frecuentemente comparten y revenden el acceso a las botnets de los demás, interrumpir a un proveedor a menudo lleva a los actores maliciosos a simplemente comprar capacidad de un competidor. Para crear un impacto duradero, Google dijo que debe «apuntar a la infraestructura de varios proveedores interconectados» simultáneamente.
El sitio net oficial de NetNut ha sido eliminado y en su lugar se incluye este aviso de incautación.
Cómo funcionó esta botnet
En 2024, los investigadores de seguridad de XLab descubrieron la botnet Vo1duna colección masiva de dispositivos Android TV pirateados, en su mayoría fuera de marca. Si recuerdas el Vídeo falso de IA de Donald Trump y Elon Musk que apareció en los televisores del Departamento de Vivienda y Desarrollo Urbano, lo más possible es que fue causado por un actor malicioso que utilizaba la botnet Vo1d.
Esos mismos investigadores también encontraron Popa, un complemento de protocolo de crimson legítimo que convertía los dispositivos de los consumidores en nodos proxy residenciales con el consentimiento del usuario. Pero el versión que encontraron los investigadores se estaba instalando en los dispositivos Android TV pirateados sin el consentimiento del usuario. De acuerdo a al FBIun nodo proxy residencial es «un servidor intermediario entre las personas y los sitios net que visitan para que sus conexiones parezcan originarse en otro lugar».
Las redes de proxy residenciales son legales en los EE. UU. y las empresas que las utilizan suelen vender el acceso a clientes empresariales. donde se usan a menudo para pruebas de penetración de seguridad, verificación de anuncios, recopilación de datos de advertising y desbloqueo de sitios net bloqueados geográficamente. Dado que los nodos residenciales utilizan direcciones IP reales de la casa de alguien, la World Vast Net ve a la empresa o persona que utiliza el nodo como un usuario regular y su verdadera identidad está oculta.
Los dispositivos Android TV que formaban parte de la botnet Vo1d e infectados con Popa permitieron a los ciberdelincuentes realizar ataques, extraer datos de dispositivos infectados en busca de información confidencial como contraseñas e incluso secuestrar el dispositivo para realizar tareas maliciosas, todo mientras el hacker parecía originarse en la casa de enfrente o en el departamento de enfrente sin estar realmente allí.
Ahí es donde entra en juego NetNut. NetNut es un operador de crimson proxy residencial de cara al público propiedad de Alarum Applied sciences, una empresa que cotiza en bolsa fuera de Israel. Según Google, period uno de los operadores de redes proxy residenciales más grandes del mundo.
A primera vista, NetNut parecía ser un negocio legítimo e incluso tenía un sitio web oficial donde podrás adquirir sus servicios. Sin embargo, a finales del mes pasado, múltiples investigadores confirmó que el tráfico generado por la botnet Popa provenía de usuarios de NetNut. Esto significaba que NetNut estaba efectivamente vendiendo su botnet abiertamente a cualquiera, tanto para usos legítimos como ilegítimos, lo que proporcionó a las autoridades pruebas suficientes para derribar a la empresa.
Manténgase a salvo del próximo ataque
La buena noticia es que asegurarse de no terminar como parte de la próxima botnet impulsada por Android TV es bastante fácil. Según Google y investigadores de seguridadla inmensa mayoría de los dispositivos pirateados eran transmisores de TV Android sin nombre que se pueden encontrar libremente en Amazon, Temu, AliExpress y otros puntos de venta en línea.
Muchos de esos dispositivos y cajas de transmisión son bastante baratopero funcionan. El problema es que casi todos ejecutan versiones antiguas de Android, que son más fáciles de piratear ya que esos dispositivos no tienen las protecciones modernas que ofrecen las versiones más nuevas.
Algunas marcas venden cajas de transmisión que prometen transmisión gratuita sin suscripciones. Estos suelen ser anunciados en Instagram y TikTok por influencers de rostro fresco que afirman ofrecer una solución de transmisión de TV sin suscripción. Los investigadores de seguridad descubrieron que muchas de esas cajas de streaming vino prehackeado con software program botnet instalado de fábrica.
Entonces, el primer paso para evitar formar parte de una botnet es comprar únicamente dispositivos Android TV de compañías acreditadas como Sony, Nvidia, Google y otras. Intente comprar uno que ejecute una versión moderna de Android y aún reciba actualizaciones de seguridad. También debes evitar esas casillas de «precio único, sin suscripciones» en las redes sociales, ya que definitivamente vienen con malware preinstalado.
Botnets como ésta no son exclusivas de Android TV. Los dispositivos domésticos inteligentes también se incluyen constantemente en las botnets, por lo que el segundo paso para mantenerse seguro es asegurarse de aplicar todos los consejos anteriores también a sus productos domésticos inteligentes. También debes mantenerte al día con las últimas tendencias, como el fastware, un nuevo tipo de malware que piratea tus dispositivos pidiéndole a la IA integrada que lo haga en nombre del hacker.
El incidente sirve como un recordatorio importante de que hay que tener cuidado con la tecnología barata y de baja calidad que venden personas influyentes, o corre el riesgo de que le roben su información de identificación private. La variedad ordinary de cosas también ayuda, como asegurarse de tener una contraseña segura, aprender a evitar correos electrónicos de phishing y no revelar ningún dato private a personajes sospechosos en línea.












