Gemeinsam mit dem FBI hat Google das NetNut-Botnetz mit rund zwei Millionen Geräten blockiert, das von Hunderten Hackergruppen zur Tarnung genutzt wurde.
Google hat in einer koordinierten Operation mit der US-Bundesbehörde FBI, Lumen Technologies und weiteren Sicherheitspartnern das weltweite NetNut-Proxy-Netzwerk maßgeblich beeinträchtigt. Das auch unter dem Namen Popa bekannte Botnetz umfasste nach Schätzungen der Google Threat Intelligence Group mindestens zwei Millionen kompromittierte Heimgeräte weltweit, darunter Smart-TVs, Router und Streaming-Boxen.
Die Betreiber des Netzwerks tarnten bösartigen Datenverkehr, indem sie ihn über die privaten IP-Adressen unverdächtiger Verbraucher umleiteten. Im Zuge des Zugriffs sperrte Google zahlreiche Benutzerkonten und Dienste, die für die Befehls- und Kontrollinfrastruktur der Schadsoftware genutzt wurden. Das FBI beschlagnahmte zudem Hunderte von Domains, die mit dem vom israelischen Unternehmen Alarum Technologies betriebenen Netzwerk in Verbindung standen.
Tarnung für Hunderte kriminelle Hackergruppen
Wohnzimmer-Proxys sind bei Cyberkriminellen und staatlichen Spionagegruppen stark nachgefragt, da Sicherheitswerkzeuge den Datenverkehr von privaten Internetanschlüssen seltener blockieren als den von Rechenzentren. Allein in einer einzigen Woche im Juni 2026 beobachteten die Analysten von Google 316 unterschiedliche Bedrohungscluster, die Ausgangsknoten des NetNut-Netzwerks für Angriffe verwendeten. Die Angreifer nutzten die gekaperten IP-Adressen, um Passwörter massenhaft durchzuprobieren, Schadsoftware-Infrastrukturen anzusteuern oder gezielte Spionage zu betreiben. Zudem wurden Komponenten des Netzwerks mit anderen großen Schadsoftware-Kampagnen wie dem Badbox-2.0-Botnetz in Verbindung gebracht. Google kommentierte die Auswirkungen des jüngsten Einsatzes in einer offiziellen Erklärung:
„Wir glauben, dass unsere koordinierten Aktionen das Proxy-Netzwerk von NetNut und dessen Geschäftsbetrieb erheblich beeinträchtigt haben, wodurch der verfügbare Pool an Geräten für den Proxy-Betreiber um Millionen reduziert wurde.“
Das Geschäftsmodell von NetNut beruhte neben dem direkten Verkauf auch auf einem Reseller-Programm, bei dem andere Anbieter die Infrastruktur unter eigenem Namen vermarkteten.
Verbreitung über versteckte Entwickler-Bibliotheken
Die Geräte der Verbraucher wurden vor allem über bösartige Software-Entwicklungs-Kits in das Botnetz integriert. Diese Programmierbausteine waren in scheinbar kostenlosen Anwendungen oder direkt in der Firmware von günstiger No-Name-Hardware versteckt. Häufig lockten die Apps Nutzer mit dem Versprechen, ungenutzte Bandbreite gegen Bezahlung zu teilen.
Sobald das Gerät als Proxy-Knoten agierte, floss unbemerkt fremder Datenverkehr über den Heimanschluss. Dies gefährdete die Privatsphäre und gab Angreifern die Möglichkeit, auf andere Geräte im selben Heimnetzwerk zuzugreifen. Zum Schutz der Anwender blockiert der integrierte Sicherheitsdienst Google Play Protect auf Android-Geräten nun automatisch Anwendungen, die bekannte NetNut-Komponenten beinhalten, und deaktiviert bestehende Installationen.
(red)