Botnet 'Popa' Conectada a Empresa Israelense de Capital Aberto
Pesquisadores de cibersegurança ligaram a botnet Popa, que afeta milhões de dispositivos Android, à NetNut, um provedor de proxy residencial operado pela Alarum Technologies. A botnet é usada para fraudes publicitárias, roubo de contas e coleta massiva de dados.
MundiX News·19 de junho de 2026·15 min de leitura·👁 5 views
Por quatro anos, uma extensa botnet baseada em Android chamada Popa tem forçado milhões de caixas de TV de consumidores a retransmitir tráfego de Internet ligado a fraudes publicitárias, roubos de contas e esforços massivos de coleta de dados (data-scraping). Nesta semana, pesquisadores de diversas firmas de segurança concluíram que a botnet Popa está ligada à NetNut, um provedor de "proxy residencial" operado pela empresa israelense de capital aberto Alarum Technologies Ltd [NASDAQ: ALAR].
Dispositivos de streaming maliciosos vendidos online inscrevem o endereço de Internet residencial do usuário em um serviço de proxy residencial. Crédito: HUMAN Security.
Popa é uma botnet massiva, mas, ao que tudo indica, difere das botnets tradicionais que utilizam sistemas comprometidos em atividades destrutivas, como a coordenação de ataques massivos de negação de serviço distribuído (DDoS). Em vez disso, Popa parece ter sido projetada com um propósito singular: implementar uma camada de comunicação persistente capaz de registrar um dispositivo, manter conexões criptografadas de longa duração e abrir túneis de comunicação sob demanda. Especialistas afirmam que Popa é um componente plugin associado à botnet Vo1d, uma campanha de malware de larga escala que visa caixas de TV não oficiais baseadas em Android. Esses dispositivos, comercializados sob milhares de nomes de marca e números de modelo e amplamente disponíveis em grandes plataformas de e-commerce, anunciam a capacidade de transmitir centenas de serviços de vídeo por assinatura mediante uma taxa única inicial.
No entanto, como o FBI e especialistas da indústria de segurança têm alertado repetidamente, essas caixas de streaming geralmente vêm com software pré-instalado ou em pacotes que transformam a TV do usuário em um "proxy residencial" – permitindo que qualquer pessoa direcione seu tráfego de Internet através desse dispositivo enquanto ele estiver conectado a uma tomada e à rede local. Mais preocupante ainda, algumas dessas redes de proxy fazem pouco para impedir que clientes maliciosos se comuniquem e até comprometam sistemas na rede local do proprietário do dispositivo desavisado. As primeiras pistas sobre as origens da Popa surgiram em um relatório de 2025 da empresa de segurança chinesa XLAB, que sinalizou pelo menos nove nomes de domínio usados para registrar e direcionar as atividades de dispositivos comprometidos. Em um relatório divulgado hoje, a firma de segurança Qurium descreveu como se deparou com alguns desses mesmos domínios ao investigar uma série de eventos disruptivos e caros de coleta de dados que visavam organizações hospedadas pela empresa em maio de 2026, nos quais a atividade de coleta de dados foi distribuída uniformemente por mais de 1,4 milhão de endereços de Internet.
Qurium relatou ter encontrado várias dezenas de domínios usados para controlar a Popa, todos hospedados em sincronia em múltiplos endereços de Internet ao longo do tempo, incluindo gmslb[.]net, safernetwork[.]io, tera-home[.]com e ninjatech[.]io. Investigando mais a fundo, Qurium descobriu que gmslb[.]net foi referenciado em dezenas de aplicativos de streaming de vídeo piratas ou modificados, como CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob e HD/OceanStreams. O relatório de Qurium observa que a maioria dos domínios usados há muito tempo para controlar a botnet Popa foram apreendidos ou desmantelados em julho de 2025, após Google, HUMAN Security e Trend Micro se unirem para interromper o Badbox 2.0, uma botnet intimamente associada ao Vo1d. Qurium afirmou que, imediatamente após essa interrupção, várias dezenas de novos domínios foram registrados para servir como controladores para a botnet Popa, mas que um desses domínios de controle não era novo: ninjatech[.]io.
Ninjatech é uma empresa fundada por Moishi Kramer, cujo perfil no LinkedIn o descreve como vice-presidente de pesquisa e desenvolvimento na NetNut. Esse currículo credita Kramer por ajudar a NetNut a construir "do zero", "projetar a arquitetura" e "escalar a NetNut" antes que a empresa fosse adquirida pela Alarum Technologies. Uma listagem auto-criada no quadro de empregos F6S referencia Kramer como o único proprietário do domínio Ninjatech (uma captura de tela está ilustrada abaixo). Respondendo por e-mail, o Sr. Kramer disse que a Ninjatech encerrou suas operações aproximadamente cinco anos atrás, quando a empresa vendeu um kit de desenvolvimento de software (SDK) chamado Popa, projetado para usar uma pequena porção da largura de banda de um dispositivo e rodar apenas após o aplicativo host obter o consentimento do usuário. "Esse código foi vendido e licenciado para terceiros, incluindo revendedores, anos atrás", disse Kramer. "Uma vez que o software é distribuído dessa forma, o desenvolvedor original não tem controle sobre como outros o modificam, renomeiam ou implantam posteriormente." Kramer afirmou que nem ele nem a NetNut constroem, operam ou mantêm a infraestrutura descrita como Popa, nem ele controla o domínio Ninjatech. "Eu não registrei os domínios de junho de 2025 que você mencionou, e não sei quem o fez", continuou ele. "Não tenho controle ou visibilidade sobre essa infraestrutura. Só posso dizer que ela não é operada por mim ou pela NetNut." No entanto, em um relatório separado sobre a Popa divulgado hoje, a empresa de rastreamento de proxies Synthient afirmou que uma análise recente do SDK da Popa revelou tráfego de saída claramente associado à NetNut. "A equipe de pesquisa avalia com alta confiança que dispositivos executando Popa encaminham tráfego de clientes da Netnut", escreveu Synthient. "Isso prova sem sombra de dúvida que a Popa continua ativamente sendo usada pela NetNut como parte de seu pool de proxies."
A Alarum Technologies, empresa controladora da NetNut sediada em Tel Aviv, declarou que os relatórios da Synthient e Qurium continham "asserções demonstradamente imprecisas e deduções falhas, em vez de fatos verificados". A Alarum compartilhou uma declaração dizendo que rejeita a caracterização básica dos SDKs e tecnologias discutidos nos relatórios como uma "botnet". "Os SDKs em questão são projetados para facilitar a funcionalidade de compartilhamento de largura de banda e não transformam os dispositivos dos usuários em sistemas controlados por malware ou comprometem de outra forma os dispositivos em que operam", afirma a declaração. "A Netnut opera uma rede de proxy comercial e mantém políticas, procedimentos e medidas tecnológicas projetadas para promover o uso legal e responsável de seus serviços." A Alarum declarou que a NetNut dá "ênfase significativa a mecanismos apropriados de notificação e consentimento, realiza diligência prévia de clientes, monitora o uso indevido potencial e toma medidas destinadas a detectar e mitigar atividades suspeitas ou não autorizadas". "Este método de operação é suportado tanto por procedimentos e políticas internas, incluindo a realização de verificações KYC e diligência prévia adicional dos clientes da NetNut, quanto pelo emprego de várias medidas tecnológicas, projetadas para auxiliar na identificação e resolução do uso indevido suspeito da rede", continuou a declaração. No entanto, em um relatório divulgado em 8 de junho, o serviço de rastreamento de proxy Spur afirmou que a NetNut não exige verificação corporativa ou procedimentos "conheça seu cliente" significativos antes de permitir que os clientes comprem acesso a proxies. "Um indivíduo pode se inscrever, pagar e rotear tráfego através de um espaço de endereço de provedor de Internet (ISP), incluindo espaço pertencente a instituições cujos usuários nunca optaram por participar", escreveu Spur. "A alegação de 'apenas corporações verificadas' é simplesmente marketing para vendedores de largura de banda, não um controle de acesso sobre quem realmente usa os proxies." "Nem a NetNut é a única porta de entrada", continuou Spur. "Vários white labelers e revendedores downstream reembalam o mesmo pool de proxies de ISP sob suas próprias marcas. Esses pontos de venda geralmente não realizam KYC algum, menos escrutínio do que a própria NetNut, que pelo menos pode designar um gerente de conta para potenciais usuários. Qualquer pessoa que saiba onde procurar pode comprar acesso através de um revendedor com nada mais do que um endereço de e-mail descartável e US$ 5 em criptomoedas."
Synthient descobriu que, embora as compilações mais recentes da Popa (de três meses atrás) tenham adicionado a capacidade de solicitar consentimento do usuário antes de instalar componentes de proxy, nem todas as variantes ou versões anteriores da Popa contêm essa funcionalidade. "Das mais de 20 publicadoras genuínas da Popa analisadas, nenhuma delas foi observada solicitando consentimento do usuário", escreveu Sythient. Chris Formosa, engenheiro sênior de segurança da informação para Black Lotus Labs, uma divisão da operadora de backbone de Internet Lumen Technologies, comentou: "O que torna a Popa especialmente perigosa é o quão amplamente a NetNut é usada para revenda e compartilhamento", explicando que muitos outros serviços de proxy simplesmente revendem proxies da NetNut em vez de construir suas próprias redes de proxy distantes. "Portanto, esses IPs da Popa aparecem em uma infinidade de serviços diferentes em todo o ecossistema, o que a torna uma das botnets de proxy mais problemáticas e perigosas no mercado atualmente." Formosa afirmou que a botnet Popa utiliza em média entre 1,5 milhão e 2,5 milhões de endereços IP distintos por dia, dependendo de 250 a 300 endereços de Internet usados para direcionar suas atividades. "É por isso que a Popa é tão perigosa", disse Formosa. "Pode não ser a maior botnet que vimos, mas está espalhada por toda a indústria, o que amplifica muito seu poder." Formosa acrescentou que, embora isso a torne uma das maiores botnets existentes hoje, seus números são pálidos em comparação com os anteriormente ostentados pela IPIDEA, um provedor de proxy baseado na China que até recentemente operava um pool diário de quase 10 milhões de dispositivos que revendia como proxies para qualquer pessoa. Em janeiro de 2026, a Synthient publicou pesquisas mostrando que várias novas botnets DDoS de grande porte cresceram rapidamente ao tunelar através de proxies da IPIDEA para as redes locais de proprietários de caixas de TV desavisados e infectando outros dispositivos baseados em Android atrás do firewall do usuário. A IPIDEA é baseada em grande parte em SDKs usados para visualizar conteúdo de streaming pirata em um vasto número de dispositivos de caixa de TV, mas os números do serviço diminuíram desde janeiro, quando Google e parceiros da indústria tomaram medidas legais para apreender nomes de domínio que a IPIDEA usava para controlar dispositivos e rotear tráfego através deles. Jérôme Meyer, pesquisador de segurança na Nokia Deepfield, disse que a população total de dispositivos participando da botnet Popa pode ser muito maior do que as estimativas da Lumen. Meyer informou ao KrebsOnSecurity que a Nokia está monitorando 26 de pelo menos 359 nós de retransmissão conhecidos para a botnet, e estima que cada nó de retransmissão lida com entre 35.000 e 60.000 clientes simultaneamente. "No subconjunto de nós de retransmissão que estou observando (26 deles), 750.000 fontes únicas em 24 horas", escreveu Meyer em resposta a perguntas. A Nokia Deepfield divulgou seu próprio relatório hoje sobre RoboVPN, um aplicativo VPN ligado ao plugin Popa da botnet Vo1d, que a Qurium atribui à NetNut/Alarum Technologies.
Especialistas afirmam que muitos dos maiores provedores de proxy do mundo atualizaram sua marca voltada para o público para destacar sua utilidade no treinamento de plataformas de IA, sugerindo que este é um caso de uso primário para seus proxies residenciais. Isso ocorre porque os serviços de IA tendem a depender da coleta massiva e constante de novos textos, imagens e conteúdo de vídeo da Internet para treinar modelos de linguagem grandes (LLMs). NetNut e outros serviços de proxy se redefiniram como infraestrutura crítica para a economia de coleta de dados de IA. "Empresas de IA dependem de conteúdo coletado da web: para pré-treinamento, para recuperação, para aterramento de agentes, para busca", afirma um relatório deste mês da Include Security que examina a prevalência de SDKs de proxy em aplicativos de smart TV. "Mas a web moderna não é coletável a partir de um data center. Cloudflare, DataDome, HUMAN, entre outros, limitam ou bloqueiam requisições de IPs conhecidos de nuvem. A solução alternativa são os proxies residenciais. Um trabalho de coleta de dados roteado através da conexão de um assinante da Comcast ou T-Mobile chega ao site alvo a partir de um IP que pertence a um cliente residencial pagante." Essa coleta contínua de conteúdo gerou mais de 70 processos por violação de direitos autorais contra grandes empresas de tecnologia que reconheceram a coleta de dados em larga escala como uma fonte importante do "cérebro" por trás de suas ofertas comerciais de IA. Ironicamente, grande parte dessa coleta é auxiliada por serviços de proxy que estão intimamente ligados a caixas de TV Android não oficiais e SDKs associados cujo propósito declarado é transmitir conteúdo pirata. A atividade de coleta de dados tornou-se tão agressiva que muitas vezes sobrecarrega os sites visados, impedindo que sejam alcançados por visitantes legítimos. Em muitos casos relatados, organizações sem fins lucrativos, bibliotecas e universidades reclamaram de batalhar constantemente para manter seus serviços online diante de empresas implacáveis de coleta de dados escondidas atrás de serviços de proxy residencial. Uma pesquisa realizada no ano passado pela Confederação de Repositórios de Acesso Aberto (COAR) descobriu que, embora alguns bots de coleta de conteúdo sejam inócuos, "outros são agressivos o suficiente a ponto de causar cada vez mais interrupções de serviço em repositórios e outras infraestruturas de comunicação acadêmica". Mais de 90% dos respondentes da pesquisa indicaram que seus repositórios encontram bots agressivos, geralmente mais de uma vez por semana, e frequentemente levando a lentidão e interrupções de serviço. "A coleta automatizada da web não é novidade e tem sido a tecnologia subjacente a mecanismos de busca como o Google há mais de 30 anos", escreveu Brendan O’Connell, gerente de plataforma no Directory of Open Access Journals (DOAJ), um índice gratuito e curado pela comunidade de periódicos revisados por pares. "No entanto, a atual febre de startups de IA impulsionada por investidores significa que agora existem milhares de empresas bem financiadas desenvolvendo e implantando suas próprias ferramentas de coleta para treinar modelos de IA, ao lado de grandes players existentes como OpenAI e Google."
Em todos os Estados Unidos, comunidades locais estão reagindo contra a proliferação de novos data centers voltados principalmente para melhorar as capacidades da IA. Mas especialistas em segurança dizem que o público em geral permanece em grande parte inconsciente de que usar uma dessas caixas de TV Android não sancionadas significa que sua "smart TV" está quase certamente usando uma quantidade significativa de largura de banda a cada mês para ajudar a treinar modelos modernos de IA. Mesmo residências sem essas caixas de TV suspeitas ainda podem ter suas smart TVs transformadas em nós de proxy residencial, simplesmente baixando um dos milhares de aplicativos disponíveis nas smart TVs da Samsung e LG. Spur relatou ter raspado recentemente as lojas de aplicativos LG e Samsung e descoberto que cada uma tinha aproximadamente 3.000 aplicativos disponíveis para download. Muitos desses aplicativos são jogos simples ou utilitários que afirmam nas entrelinhas que a conexão de Internet do usuário será usada para baixar dados e que eles podem optar por sair a qualquer momento. Spur descobriu que mais de 42% dos aplicativos disponíveis para download através do sistema operacional webOS em TVs LG incluem SDKs que transformam a televisão em um nó de proxy residencial sempre ativo. Mais de um quarto dos aplicativos feitos para o sistema operacional Tizen da Samsung tinham componentes de proxy residencial semelhantes, descobriu Spur. Especialistas dizem que é questionável se os aplicativos de TV com SDKs de proxy podem obter consentimento significativo dos usuários para instalar uma conexão de proxy sempre ativa, especialmente quando qualquer pessoa em uma residência – incluindo crianças – pode efetivamente optar a TV da família em uma rede de proxy residencial simplesmente instalando um jogo ou aplicativo simples. "A divulgação da política de privacidade é a superfície de controle errada para uma TV", escreveu Include Security. "É difícil rolar por um documento legal navegado por teclas de seta em um controle remoto, e o diálogo de consentimento no aplicativo não transmite que um cliente pagante está prestes a rotear seu tráfego de coleta de dados através da Internet doméstica do usuário." Sean Simmons, chefe de pesquisa da Spur, disse ao KrebsOnSecurity que a maioria das pessoas não tem um modelo mental funcional do que significa vender acesso ao seu endereço IP residencial, independentemente do dispositivo que estejam usando. "E em uma TV, a lacuna é ainda maior", disse Simmons. "Um prompt único navegado com um controle remoto pode desaparecer no fluxo de configuração, enquanto o aplicativo continua a monetizar a conexão muito depois que alguém se lembra do que aceitou." Simmons disse que LG e Samsung deveriam seguir o exemplo de outras plataformas de TV que já estabeleceram uma linha contra provedores residenciais, apontando para políticas da Amazon que proíbem aplicativos que facilitam serviços de proxy para terceiros. Da mesma forma, a fabricante de dispositivos de streaming de TV Roku supostamente agora proíbe os desenvolvedores de usar SDKs de proxy e removeu aplicativos que os empacotavam. Aplicativos relacionados à pirataria promovendo SDKs de proxy para usuários não consentidos. Crédito: Synthient. Aplicativos que transformam um dispositivo em um nó de proxy residencial não se limitam a smart TVs e caixas de streaming sem nome, é claro. Como observado pela firma de segurança Infoblox, os desenvolvedores de aplicativos móveis podem incorporar SDKs fornecidos pelas redes de proxy residencial em seus produtos para monetizar seu software, permitindo que recebam uma pequena quantia de dinheiro a cada instalação. O resultado, disse a Infoblox, é que os dispositivos são frequentemente inscritos sem o conhecimento do proprietário, tipicamente através de aplicativos gratuitos como VPNs, aplicativos de streaming, protetores de tela e aplicativos de "produtividade" como visualizadores de PDF e lembretes de pausa. "Com muita frequência, esses serviços de proxy estão enviando sinais de dispositivos de funcionários levados para o local de trabalho", descobriu a Infoblox. Em uma postagem de blog no início deste mês, a Infoblox informou ter descoberto que 65% de sua base de clientes estava consultando um ou mais domínios relacionados a proxy residencial. "Vimos um crescimento constante nessas consultas em 2025, com um aumento de 25% ao longo do ano para mais de 500 bilhões por mês", escreveu a Infoblox. "Mais de 90% de nossos clientes farmacêuticos e de alimentos e bebidas consultaram indicadores de proxy residencial. Talvez ainda mais preocupante seja que mais de 60% dos clientes governamentais e bancários também o fizeram." Os pesquisadores da Infoblox, Nick Sundvall e David Brunsdon, alertaram que com proxies residenciais no ambiente corporativo, o acesso externo é concedido ao espaço de IP de uma organização. "Se atores maliciosos abusassem do proxy residencial para atacar um terceiro, a resposta a incidentes do terceiro, corretamente, identificaria seu proxy residencial como a fonte", escreveram eles. "Desvendar isso, provando que você foi o conduto e não o ator malicioso, custa tempo, cria exposição legal e pode prejudicar sua reputação. A impressionante prevalência desses serviços dentro dos ambientes dos clientes justifica atenção tanto dos defensores de rede quanto dos formuladores de políticas, que devem considerar como os riscos apresentados pelos proxies residenciais podem estar impactando sua postura de segurança."
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Por quatro anos, uma extensa botnet baseada em Android chamada Popa tem forçado milhões de caixas de TV de consumidores a retransmitir tráfego de Internet ligado a fraudes publicitárias, roubos de contas e esforços massivos de coleta de dados (data-scraping). Nesta semana, pesquisadores de diversas firmas de segurança concluíram que a botnet Popa está ligada à NetNut, um provedor de "proxy residencial" operado pela empresa israelense de capital aberto Alarum Technologies Ltd [NASDAQ: ALAR].
Dispositivos de streaming maliciosos vendidos online inscrevem o endereço de Internet residencial do usuário em um serviço de proxy residencial. Crédito: HUMAN Security.
Popa é uma botnet massiva, mas, ao que tudo indica, difere das botnets tradicionais que utilizam sistemas comprometidos em atividades destrutivas, como a coordenação de ataques massivos de negação de serviço distribuído (DDoS). Em vez disso, Popa parece ter sido projetada com um propósito singular: implementar uma camada de comunicação persistente capaz de registrar um dispositivo, manter conexões criptografadas de longa duração e abrir túneis de comunicação sob demanda. Especialistas afirmam que Popa é um componente plugin associado à botnet Vo1d, uma campanha de malware de larga escala que visa caixas de TV não oficiais baseadas em Android. Esses dispositivos, comercializados sob milhares de nomes de marca e números de modelo e amplamente disponíveis em grandes plataformas de e-commerce, anunciam a capacidade de transmitir centenas de serviços de vídeo por assinatura mediante uma taxa única inicial.
No entanto, como o FBI e especialistas da indústria de segurança têm alertado repetidamente, essas caixas de streaming geralmente vêm com software pré-instalado ou em pacotes que transformam a TV do usuário em um "proxy residencial" – permitindo que qualquer pessoa direcione seu tráfego de Internet através desse dispositivo enquanto ele estiver conectado a uma tomada e à rede local. Mais preocupante ainda, algumas dessas redes de proxy fazem pouco para impedir que clientes maliciosos se comuniquem e até comprometam sistemas na rede local do proprietário do dispositivo desavisado. As primeiras pistas sobre as origens da Popa surgiram em um relatório de 2025 da empresa de segurança chinesa XLAB, que sinalizou pelo menos nove nomes de domínio usados para registrar e direcionar as atividades de dispositivos comprometidos. Em um relatório divulgado hoje, a firma de segurança Qurium descreveu como se deparou com alguns desses mesmos domínios ao investigar uma série de eventos disruptivos e caros de coleta de dados que visavam organizações hospedadas pela empresa em maio de 2026, nos quais a atividade de coleta de dados foi distribuída uniformemente por mais de 1,4 milhão de endereços de Internet.
Qurium relatou ter encontrado várias dezenas de domínios usados para controlar a Popa, todos hospedados em sincronia em múltiplos endereços de Internet ao longo do tempo, incluindo gmslb[.]net, safernetwork[.]io, tera-home[.]com e ninjatech[.]io. Investigando mais a fundo, Qurium descobriu que gmslb[.]net foi referenciado em dezenas de aplicativos de streaming de vídeo piratas ou modificados, como CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob e HD/OceanStreams. O relatório de Qurium observa que a maioria dos domínios usados há muito tempo para controlar a botnet Popa foram apreendidos ou desmantelados em julho de 2025, após Google, HUMAN Security e Trend Micro se unirem para interromper o Badbox 2.0, uma botnet intimamente associada ao Vo1d. Qurium afirmou que, imediatamente após essa interrupção, várias dezenas de novos domínios foram registrados para servir como controladores para a botnet Popa, mas que um desses domínios de controle não era novo: ninjatech[.]io.
Ninjatech é uma empresa fundada por Moishi Kramer, cujo perfil no LinkedIn o descreve como vice-presidente de pesquisa e desenvolvimento na NetNut. Esse currículo credita Kramer por ajudar a NetNut a construir "do zero", "projetar a arquitetura" e "escalar a NetNut" antes que a empresa fosse adquirida pela Alarum Technologies. Uma listagem auto-criada no quadro de empregos F6S referencia Kramer como o único proprietário do domínio Ninjatech (uma captura de tela está ilustrada abaixo). Respondendo por e-mail, o Sr. Kramer disse que a Ninjatech encerrou suas operações aproximadamente cinco anos atrás, quando a empresa vendeu um kit de desenvolvimento de software (SDK) chamado Popa, projetado para usar uma pequena porção da largura de banda de um dispositivo e rodar apenas após o aplicativo host obter o consentimento do usuário. "Esse código foi vendido e licenciado para terceiros, incluindo revendedores, anos atrás", disse Kramer. "Uma vez que o software é distribuído dessa forma, o desenvolvedor original não tem controle sobre como outros o modificam, renomeiam ou implantam posteriormente." Kramer afirmou que nem ele nem a NetNut constroem, operam ou mantêm a infraestrutura descrita como Popa, nem ele controla o domínio Ninjatech. "Eu não registrei os domínios de junho de 2025 que você mencionou, e não sei quem o fez", continuou ele. "Não tenho controle ou visibilidade sobre essa infraestrutura. Só posso dizer que ela não é operada por mim ou pela NetNut." No entanto, em um relatório separado sobre a Popa divulgado hoje, a empresa de rastreamento de proxies Synthient afirmou que uma análise recente do SDK da Popa revelou tráfego de saída claramente associado à NetNut. "A equipe de pesquisa avalia com alta confiança que dispositivos executando Popa encaminham tráfego de clientes da Netnut", escreveu Synthient. "Isso prova sem sombra de dúvida que a Popa continua ativamente sendo usada pela NetNut como parte de seu pool de proxies."
A Alarum Technologies, empresa controladora da NetNut sediada em Tel Aviv, declarou que os relatórios da Synthient e Qurium continham "asserções demonstradamente imprecisas e deduções falhas, em vez de fatos verificados". A Alarum compartilhou uma declaração dizendo que rejeita a caracterização básica dos SDKs e tecnologias discutidos nos relatórios como uma "botnet". "Os SDKs em questão são projetados para facilitar a funcionalidade de compartilhamento de largura de banda e não transformam os dispositivos dos usuários em sistemas controlados por malware ou comprometem de outra forma os dispositivos em que operam", afirma a declaração. "A Netnut opera uma rede de proxy comercial e mantém políticas, procedimentos e medidas tecnológicas projetadas para promover o uso legal e responsável de seus serviços." A Alarum declarou que a NetNut dá "ênfase significativa a mecanismos apropriados de notificação e consentimento, realiza diligência prévia de clientes, monitora o uso indevido potencial e toma medidas destinadas a detectar e mitigar atividades suspeitas ou não autorizadas". "Este método de operação é suportado tanto por procedimentos e políticas internas, incluindo a realização de verificações KYC e diligência prévia adicional dos clientes da NetNut, quanto pelo emprego de várias medidas tecnológicas, projetadas para auxiliar na identificação e resolução do uso indevido suspeito da rede", continuou a declaração. No entanto, em um relatório divulgado em 8 de junho, o serviço de rastreamento de proxy Spur afirmou que a NetNut não exige verificação corporativa ou procedimentos "conheça seu cliente" significativos antes de permitir que os clientes comprem acesso a proxies. "Um indivíduo pode se inscrever, pagar e rotear tráfego através de um espaço de endereço de provedor de Internet (ISP), incluindo espaço pertencente a instituições cujos usuários nunca optaram por participar", escreveu Spur. "A alegação de 'apenas corporações verificadas' é simplesmente marketing para vendedores de largura de banda, não um controle de acesso sobre quem realmente usa os proxies." "Nem a NetNut é a única porta de entrada", continuou Spur. "Vários white labelers e revendedores downstream reembalam o mesmo pool de proxies de ISP sob suas próprias marcas. Esses pontos de venda geralmente não realizam KYC algum, menos escrutínio do que a própria NetNut, que pelo menos pode designar um gerente de conta para potenciais usuários. Qualquer pessoa que saiba onde procurar pode comprar acesso através de um revendedor com nada mais do que um endereço de e-mail descartável e US$ 5 em criptomoedas."
Synthient descobriu que, embora as compilações mais recentes da Popa (de três meses atrás) tenham adicionado a capacidade de solicitar consentimento do usuário antes de instalar componentes de proxy, nem todas as variantes ou versões anteriores da Popa contêm essa funcionalidade. "Das mais de 20 publicadoras genuínas da Popa analisadas, nenhuma delas foi observada solicitando consentimento do usuário", escreveu Sythient. Chris Formosa, engenheiro sênior de segurança da informação para Black Lotus Labs, uma divisão da operadora de backbone de Internet Lumen Technologies, comentou: "O que torna a Popa especialmente perigosa é o quão amplamente a NetNut é usada para revenda e compartilhamento", explicando que muitos outros serviços de proxy simplesmente revendem proxies da NetNut em vez de construir suas próprias redes de proxy distantes. "Portanto, esses IPs da Popa aparecem em uma infinidade de serviços diferentes em todo o ecossistema, o que a torna uma das botnets de proxy mais problemáticas e perigosas no mercado atualmente." Formosa afirmou que a botnet Popa utiliza em média entre 1,5 milhão e 2,5 milhões de endereços IP distintos por dia, dependendo de 250 a 300 endereços de Internet usados para direcionar suas atividades. "É por isso que a Popa é tão perigosa", disse Formosa. "Pode não ser a maior botnet que vimos, mas está espalhada por toda a indústria, o que amplifica muito seu poder." Formosa acrescentou que, embora isso a torne uma das maiores botnets existentes hoje, seus números são pálidos em comparação com os anteriormente ostentados pela IPIDEA, um provedor de proxy baseado na China que até recentemente operava um pool diário de quase 10 milhões de dispositivos que revendia como proxies para qualquer pessoa. Em janeiro de 2026, a Synthient publicou pesquisas mostrando que várias novas botnets DDoS de grande porte cresceram rapidamente ao tunelar através de proxies da IPIDEA para as redes locais de proprietários de caixas de TV desavisados e infectando outros dispositivos baseados em Android atrás do firewall do usuário. A IPIDEA é baseada em grande parte em SDKs usados para visualizar conteúdo de streaming pirata em um vasto número de dispositivos de caixa de TV, mas os números do serviço diminuíram desde janeiro, quando Google e parceiros da indústria tomaram medidas legais para apreender nomes de domínio que a IPIDEA usava para controlar dispositivos e rotear tráfego através deles. Jérôme Meyer, pesquisador de segurança na Nokia Deepfield, disse que a população total de dispositivos participando da botnet Popa pode ser muito maior do que as estimativas da Lumen. Meyer informou ao KrebsOnSecurity que a Nokia está monitorando 26 de pelo menos 359 nós de retransmissão conhecidos para a botnet, e estima que cada nó de retransmissão lida com entre 35.000 e 60.000 clientes simultaneamente. "No subconjunto de nós de retransmissão que estou observando (26 deles), 750.000 fontes únicas em 24 horas", escreveu Meyer em resposta a perguntas. A Nokia Deepfield divulgou seu próprio relatório hoje sobre RoboVPN, um aplicativo VPN ligado ao plugin Popa da botnet Vo1d, que a Qurium atribui à NetNut/Alarum Technologies.
Especialistas afirmam que muitos dos maiores provedores de proxy do mundo atualizaram sua marca voltada para o público para destacar sua utilidade no treinamento de plataformas de IA, sugerindo que este é um caso de uso primário para seus proxies residenciais. Isso ocorre porque os serviços de IA tendem a depender da coleta massiva e constante de novos textos, imagens e conteúdo de vídeo da Internet para treinar modelos de linguagem grandes (LLMs). NetNut e outros serviços de proxy se redefiniram como infraestrutura crítica para a economia de coleta de dados de IA. "Empresas de IA dependem de conteúdo coletado da web: para pré-treinamento, para recuperação, para aterramento de agentes, para busca", afirma um relatório deste mês da Include Security que examina a prevalência de SDKs de proxy em aplicativos de smart TV. "Mas a web moderna não é coletável a partir de um data center. Cloudflare, DataDome, HUMAN, entre outros, limitam ou bloqueiam requisições de IPs conhecidos de nuvem. A solução alternativa são os proxies residenciais. Um trabalho de coleta de dados roteado através da conexão de um assinante da Comcast ou T-Mobile chega ao site alvo a partir de um IP que pertence a um cliente residencial pagante." Essa coleta contínua de conteúdo gerou mais de 70 processos por violação de direitos autorais contra grandes empresas de tecnologia que reconheceram a coleta de dados em larga escala como uma fonte importante do "cérebro" por trás de suas ofertas comerciais de IA. Ironicamente, grande parte dessa coleta é auxiliada por serviços de proxy que estão intimamente ligados a caixas de TV Android não oficiais e SDKs associados cujo propósito declarado é transmitir conteúdo pirata. A atividade de coleta de dados tornou-se tão agressiva que muitas vezes sobrecarrega os sites visados, impedindo que sejam alcançados por visitantes legítimos. Em muitos casos relatados, organizações sem fins lucrativos, bibliotecas e universidades reclamaram de batalhar constantemente para manter seus serviços online diante de empresas implacáveis de coleta de dados escondidas atrás de serviços de proxy residencial. Uma pesquisa realizada no ano passado pela Confederação de Repositórios de Acesso Aberto (COAR) descobriu que, embora alguns bots de coleta de conteúdo sejam inócuos, "outros são agressivos o suficiente a ponto de causar cada vez mais interrupções de serviço em repositórios e outras infraestruturas de comunicação acadêmica". Mais de 90% dos respondentes da pesquisa indicaram que seus repositórios encontram bots agressivos, geralmente mais de uma vez por semana, e frequentemente levando a lentidão e interrupções de serviço. "A coleta automatizada da web não é novidade e tem sido a tecnologia subjacente a mecanismos de busca como o Google há mais de 30 anos", escreveu Brendan O’Connell, gerente de plataforma no Directory of Open Access Journals (DOAJ), um índice gratuito e curado pela comunidade de periódicos revisados por pares. "No entanto, a atual febre de startups de IA impulsionada por investidores significa que agora existem milhares de empresas bem financiadas desenvolvendo e implantando suas próprias ferramentas de coleta para treinar modelos de IA, ao lado de grandes players existentes como OpenAI e Google."
Em todos os Estados Unidos, comunidades locais estão reagindo contra a proliferação de novos data centers voltados principalmente para melhorar as capacidades da IA. Mas especialistas em segurança dizem que o público em geral permanece em grande parte inconsciente de que usar uma dessas caixas de TV Android não sancionadas significa que sua "smart TV" está quase certamente usando uma quantidade significativa de largura de banda a cada mês para ajudar a treinar modelos modernos de IA. Mesmo residências sem essas caixas de TV suspeitas ainda podem ter suas smart TVs transformadas em nós de proxy residencial, simplesmente baixando um dos milhares de aplicativos disponíveis nas smart TVs da Samsung e LG. Spur relatou ter raspado recentemente as lojas de aplicativos LG e Samsung e descoberto que cada uma tinha aproximadamente 3.000 aplicativos disponíveis para download. Muitos desses aplicativos são jogos simples ou utilitários que afirmam nas entrelinhas que a conexão de Internet do usuário será usada para baixar dados e que eles podem optar por sair a qualquer momento. Spur descobriu que mais de 42% dos aplicativos disponíveis para download através do sistema operacional webOS em TVs LG incluem SDKs que transformam a televisão em um nó de proxy residencial sempre ativo. Mais de um quarto dos aplicativos feitos para o sistema operacional Tizen da Samsung tinham componentes de proxy residencial semelhantes, descobriu Spur. Especialistas dizem que é questionável se os aplicativos de TV com SDKs de proxy podem obter consentimento significativo dos usuários para instalar uma conexão de proxy sempre ativa, especialmente quando qualquer pessoa em uma residência – incluindo crianças – pode efetivamente optar a TV da família em uma rede de proxy residencial simplesmente instalando um jogo ou aplicativo simples. "A divulgação da política de privacidade é a superfície de controle errada para uma TV", escreveu Include Security. "É difícil rolar por um documento legal navegado por teclas de seta em um controle remoto, e o diálogo de consentimento no aplicativo não transmite que um cliente pagante está prestes a rotear seu tráfego de coleta de dados através da Internet doméstica do usuário." Sean Simmons, chefe de pesquisa da Spur, disse ao KrebsOnSecurity que a maioria das pessoas não tem um modelo mental funcional do que significa vender acesso ao seu endereço IP residencial, independentemente do dispositivo que estejam usando. "E em uma TV, a lacuna é ainda maior", disse Simmons. "Um prompt único navegado com um controle remoto pode desaparecer no fluxo de configuração, enquanto o aplicativo continua a monetizar a conexão muito depois que alguém se lembra do que aceitou." Simmons disse que LG e Samsung deveriam seguir o exemplo de outras plataformas de TV que já estabeleceram uma linha contra provedores residenciais, apontando para políticas da Amazon que proíbem aplicativos que facilitam serviços de proxy para terceiros. Da mesma forma, a fabricante de dispositivos de streaming de TV Roku supostamente agora proíbe os desenvolvedores de usar SDKs de proxy e removeu aplicativos que os empacotavam. Aplicativos relacionados à pirataria promovendo SDKs de proxy para usuários não consentidos. Crédito: Synthient. Aplicativos que transformam um dispositivo em um nó de proxy residencial não se limitam a smart TVs e caixas de streaming sem nome, é claro. Como observado pela firma de segurança Infoblox, os desenvolvedores de aplicativos móveis podem incorporar SDKs fornecidos pelas redes de proxy residencial em seus produtos para monetizar seu software, permitindo que recebam uma pequena quantia de dinheiro a cada instalação. O resultado, disse a Infoblox, é que os dispositivos são frequentemente inscritos sem o conhecimento do proprietário, tipicamente através de aplicativos gratuitos como VPNs, aplicativos de streaming, protetores de tela e aplicativos de "produtividade" como visualizadores de PDF e lembretes de pausa. "Com muita frequência, esses serviços de proxy estão enviando sinais de dispositivos de funcionários levados para o local de trabalho", descobriu a Infoblox. Em uma postagem de blog no início deste mês, a Infoblox informou ter descoberto que 65% de sua base de clientes estava consultando um ou mais domínios relacionados a proxy residencial. "Vimos um crescimento constante nessas consultas em 2025, com um aumento de 25% ao longo do ano para mais de 500 bilhões por mês", escreveu a Infoblox. "Mais de 90% de nossos clientes farmacêuticos e de alimentos e bebidas consultaram indicadores de proxy residencial. Talvez ainda mais preocupante seja que mais de 60% dos clientes governamentais e bancários também o fizeram." Os pesquisadores da Infoblox, Nick Sundvall e David Brunsdon, alertaram que com proxies residenciais no ambiente corporativo, o acesso externo é concedido ao espaço de IP de uma organização. "Se atores maliciosos abusassem do proxy residencial para atacar um terceiro, a resposta a incidentes do terceiro, corretamente, identificaria seu proxy residencial como a fonte", escreveram eles. "Desvendar isso, provando que você foi o conduto e não o ator malicioso, custa tempo, cria exposição legal e pode prejudicar sua reputação. A impressionante prevalência desses serviços dentro dos ambientes dos clientes justifica atenção tanto dos defensores de rede quanto dos formuladores de políticas, que devem considerar como os riscos apresentados pelos proxies residenciais podem estar impactando sua postura de segurança."
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
