ФБР вилучило ботнет NetNut/Popa: перевірте TV-бокс

ФБР вилучило домени NetNut/Popa. Перевірте TV-бокси, streaming apps і домашню мережу на ознаки резидентного проксі-вузла.

Попередження про вилучення ботнету NetNut Popa зі smart TV box і картою резидентних проксі-вузлів.

ФБР вилучило домени, пов’язані з платформою резидентних проксі NetNut і ботнетом Popa. Для власників дешевих Android TV-боксів, неофіційних стримінгових приставок і застосунків для “спільного використання інтернету” це практичний сигнал перевірити домашні пристрої, а не просто чергова новина про інфраструктуру кіберзлочинців.

Повідомлення ФБР про вилучення на головній сторінці NetNut 2 липня 2026 року
Таке повідомлення про вилучення показувала головна сторінка NetNut 2 липня 2026 року. Джерело: netnut.com.

Google Threat Intelligence Group повідомила, що діяла разом із ФБР, Lumen та іншими партнерами, вимкнула облікові записи й сервіси Google, які використовувалися для керування NetNut, і передала технічні дані про SDK та серверну інфраструктуру. За оцінкою Google, мережа NetNut охоплювала щонайменше 2 млн пристроїв, а підозрювані вихідні вузли NetNut за один тиждень червня 2026 року використовували сотні кластерів загроз.

Це не означає, що кожен Smart TV заражений. Ризик конкретніший: приставка, sideloaded APK, VPN/проксі-додаток або прихований SDK можуть перетворити домашній пристрій на вузол проксі-мережі. Тоді чужий трафік іде через вашу домашню IP-адресу, а нормальні входи на сайти можуть почати виглядати підозріло.

Що сталося

KrebsOnSecurity 2 липня 2026 року повідомив, що на інфраструктурі, пов’язаній з NetNut, з’явилася сторінка вилучення від ФБР та IRS Criminal Investigation. Це продовження попередніх досліджень про Popa, резидентні проксі й застосунки або пристрої, які часто трапляються в домашніх мережах.

Google окремо заявила, що Google Play Protect попереджав користувачів і вимикав застосунки, у яких були відомі SDK NetNut. Саме SDK і приховані модулі важливі для звичайних користувачів: проксі-операторам потрібні реальні домашні IP-адреси, тому вони намагаються запускати свій код на пристроях у домі.

Кому варто перевірити пристрої

СитуаціяРизик і дія
Ви використовуєте дешевий Android TV-бокс або неофіційну стримінгову приставку.Перевірте встановлені застосунки, оновіть прошивку, видаліть невідомі streaming/VPN/proxy-додатки. Якщо пристрій не має надійних оновлень, краще замінити його.
Застосунок пропонує гроші, бонуси або безкоштовний сервіс за “невикористану пропускну здатність”.Ставтеся до цього як до високого ризику. Видаляйте такий застосунок, якщо не розумієте оператора, дозволи й мережеву поведінку.
Домашню IP-адресу раптом блокують, часто показують CAPTCHA або позначають як підозрілу.Перевірте маршрутизатор, TV-бокси, телефони та ПК на proxyware, невідомі VPN і незвичний вихідний трафік.
Ви завантажували APK, codec, VPN або streaming tool з неофіційного сайту.Видаліть файл або застосунок, проскануйте ПК, з якого виконували завантаження, і змініть паролі з чистого пристрою, якщо після цього входили в облікові записи.

Як перевірити TV-бокс або стримінгову приставку

  1. Відкрийте список застосунків і видаліть невідомі streaming, VPN, proxy, cleaner, optimizer або bandwidth-sharing додатки.
  2. На сертифікованих Android-пристроях увімкніть Google Play Protect і встановлюйте програми лише з офіційного магазину.
  3. У панелі маршрутизатора перегляньте список підключених пристроїв: шукайте незнайомі назви, постійний трафік від idle TV-бокса або пристрої, яких уже не має бути в мережі.
  4. Перезавантажте маршрутизатор і приставку, а потім перевірте, чи повертаються блокування, CAPTCHA або підозрілий трафік.
  5. Якщо приставка без бренду, з root-доступом, старою версією Android або попередньо встановленими піратськими streaming apps, не покладайтеся лише на ручне очищення.
  6. Якщо ви використовували Windows-ПК для завантаження або перенесення APK, VPN чи proxy tools, проскануйте цей ПК і видаліть залишки інсталяторів.

Для ширшого контексту дивіться матеріал про ботнет на 17 млн пристроїв. Якщо проблема проявляється як підозрілий трафік із маршрутизатора або IoT-пристрою, корисними будуть також приклади з MooBot і маршрутизаторами D-Link.

Коли скидати або замінювати пристрій

Factory reset має сенс, якщо приставка не дає видалити підозрілі додатки, встановлює їх знову, має невідомі права адміністратора або продовжує передавати трафік у режимі очікування. Але скидання не вирішить проблему, якщо шкідливий модуль уже в прошивці або попередньо встановленому образі. У такій ситуації безпечніше замінити пристрій.

Якщо у встановленні брав участь ПК, перевіряйте не лише TV-бокс. Залиште підозрілий файл у карантині, запустіть повне сканування, видаліть знайдене, перезавантажте систему й повторіть перевірку, якщо повертаються редиректи, невідомі proxy settings або блокування вихідного трафіку.

Чому це окрема новина, а не загальний матеріал про проксі

NetNut/Popa – це named news event із вилученням інфраструктури. Загальні пояснення про резидентні проксі залишаються окремою темою. Тут важливо інше: домашній пристрій може бути цінним для зловмисників навіть без шифрування файлів, попереджень антивіруса або видимих симптомів. Його можуть використовувати як проміжний вузол для password spraying, scraping, шахрайства з акаунтами та іншого трафіку.

FAQ

Чи означає згадка NetNut або Popa, що мій TV-бокс заражений?

Ні. Ці назви стосуються платформи й ботнет-інфраструктури в публічних звітах. Перевірка потрібна, якщо пристрій має підозрілі додатки, був куплений із неофіційним streaming software, ділиться bandwidth або спричиняє проблеми з репутацією домашньої IP-адреси.

Чи може антивірус очистити Android TV-бокс?

Іноді він може знайти поганий застосунок, але дешеві приставки часто мають слабкий шлях оновлень або підозрілу прошивку. Якщо додатки повертаються після видалення, краще замінити пристрій.

Чи потрібно змінювати паролі?

Так, якщо ви входили в акаунти з цього пристрою, встановлювали супутнє ПЗ на ПК або отримували попередження про облікові записи. Міняйте паролі з чистого пристрою й увімкніть MFA.

Джерела

  1. KrebsOnSecurity. “FBI Seizes NetNut Proxy Platform, Popa Botnet.” KrebsOnSecurity, 2 липня 2026. звіт KrebsOnSecurity
  2. Google Threat Intelligence Group. “Google’s Continued Disruption of Malicious Residential Proxy Networks.” Google Cloud Blog, 2 липня 2026. звіт Google Threat Intelligence Group
  3. Federal Bureau of Investigation. “Evading Residential Proxy Networks: Protecting Your Devices From Becoming a Tool for Criminals.” FBI, дата доступу 2 липня 2026. рекомендації FBI

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.