Google a FBI zasiahli proti obrovskému botnetu. Milióny televízorov a Android boxov potajomky maskovali útoky hackerov

FBI a Google zasiahli proti sieti NetNut, ktorá zneužívala milióny televízorov a Android boxov na maskovanie hackerských útokov.

android televizor virus
Zdroj: Vosveteit.sk, AI

Kúpil si si lacnú set-top krabičku z internetu, zapojil si ju a ďalej si nič neriešil. Pozeráš cez ňu filmy či YouTube a všetko funguje. Tvoja domáca IP adresa však môže medzitým slúžiť ako krytie pre hackerov, ktorí skúšajú prelomiť cudzie účty alebo maskovať inú podozrivú aktivitu. Práve na takomto princípe fungovala infraštruktúra spájaná so sieťou NetNut, proti ktorej FBI a Google začiatkom júla 2026 podnikli koordinovaný zásah.

Operácia bola zameraná na jednu z najväčších rezidenčných proxy sietí na svete. Okrem FBI a Google Threat Intelligence Group sa do nej zapojili aj Lumen Technologies, Shadowserver Foundation a vyšetrovacia divízia amerického daňového úradu IRS. Americké úrady zaistili stovky domén a Google tvrdí, že zásah výrazne narušil sieť zahŕňajúcu najmenej dva milióny zariadení po celom svete. Výnimkou nie je ani Slovensko.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

NetNut však nemusí byť definitívne zničený. Google hovorí o tvrdom zásahu do jeho infraštruktúry a obchodných operácií, no podobné siete sa dokážu presunúť ku konkurencii a postupne obnoviť.

NetNut sa ukrýval v lacných televízoroch, boxoch aj aplikáciách

NetNut, ktorý bezpečnostní výskumníci spájajú aj s botnetom Popa, získaval zariadenia najmä cez škodlivé alebo zavádzajúce SDK. Ide o balíky kódu vložené do aplikácií alebo firmvéru. Objavili sa v lacných Android televízoroch, streamovacích boxoch aj neoficiálnych aplikáciách. Verejné analýzy spomínajú napríklad klienta SmartTube.

virus android smartfon
Zdroj: Vosveteit.sk, AI

Niektoré zariadenia mohli mať podozrivý softvér nainštalovaný už pri predaji. V iných prípadoch si používateľ stiahol aplikáciu, ktorá v sebe ukrývala proxy kód. Po pripojení k internetu sa zariadenie mohlo zmeniť na výstupný bod siete, často bez jasného upozornenia a bez skutočne informovaného súhlasu majiteľa.

Rezidenčné proxy služby predávajú možnosť posielať internetovú prevádzku cez IP adresy bežných domácností. Útočník potom navonok nevyzerá ako server v podozrivom dátovom centre, ale napríklad ako obyčajný používateľ internetu z Bratislavy alebo Košíc. Bezpečnostné systémy mu preto môžu dôverovať viac a útok sa blokuje ťažšie.

Za prístup k tvojej IP adrese tak mohol niekto zaplatiť, použiť ju na podvod alebo pokus o prelomenie účtu a následne zmiznúť. Ty si problém mohol spozorovať až vtedy, keď niektorá služba označila tvoje pripojenie za podozrivé, zablokovala ti prístup alebo od teba začala vyžadovať dodatočné overenie.

Google upozorňuje, že riziko sa nemusí končiť pri samotnej IP adrese. Zariadenie fungujúce ako výstupný uzol môže vystaviť hrozbám aj ďalšie zariadenia v rovnakej domácej sieti. Lacná krabička pri televízore sa tak môže stať slabým miestom vedľa počítača, telefónu, kamery či domáceho úložiska.

Počas jediného týždňa v júni 2026 zaznamenal Google 316 rôznych skupín hrozieb, ktoré používali podozrivé výstupné uzly NetNutu. Boli medzi nimi kyberzločinci aj skupiny zapojené do špionážnych operácií.

Sieť využívali napríklad na password spraying, pri ktorom útočníci skúšajú niekoľko často používaných hesiel na veľkom počte účtov. Ďalšou technikou bol credential stuffing, teda automatizované skúšanie prihlasovacích údajov uniknutých z iných služieb. NetNut slúžil aj na reklamné podvody, získavanie citlivých dát a skrývanie skutočného pôvodu internetovej prevádzky.

Za sieťou NetNut sa objavilo meno firmy kótovanej na burze Nasdaq

Prípad NetNut je nezvyčajný aj tým, že nejde len o anonymnú sieť z kybernetického podsvetia. Komerčná služba NetNut patrí izraelskej spoločnosti Alarum Technologies Ltd., ktorej akcie sa obchodujú na burze Nasdaq.

Kyberbezpečnostný novinár Brian Krebs a viaceré výskumné spoločnosti spojili proxy infraštruktúru NetNutu s botnetom Popa. Krebs sa odvoláva najmä na zistenia spoločností Qurium a Synthient, ktoré opísali technické aj personálne väzby medzi infraštruktúrou NetNutu a vývojármi komponentov Popa.

Google však Alarum Technologies vo svojej správe priamo nemenoval a neurčil zodpovednosť konkrétnych ľudí vo firme. Potvrdil fungovanie siete NetNut, jej spojenie s Popa botnetom aj spôsob, akým do nej pribúdali zariadenia. Tvrdenia o úlohe vedenia spoločnosti preto treba pripisovať Krebsovi a nezávislým výskumníkom, nie Googlu alebo FBI.

Sofistikovaný phishingový útok VoidProxy zasiahol svet
Zdroj: AI, Vosveteit.sk

Alarum svoju platformu v minulosti opisoval ako službu založenú na dobrovoľnom zdieľaní nevyužitej internetovej kapacity. Technické analýzy však upozornili, že niektoré aplikácie a zariadenia používateľom jasne nevysvetlili, čo sa bude s ich pripojením diať. Chýbať mala aj reálna možnosť udeliť zmysluplný súhlas.

Po zaistení domén firma vyhlásila, že situáciu berie vážne a bude spolupracovať s orgánmi činnými v trestnom konaní.

Dosah siete mohol byť väčší, než naznačuje samotná značka NetNut. Služba mala rozsiahly reseller program, ktorý umožňoval predávať rovnakú infraštruktúru pod názvami iných spoločností. Google s vysokou mierou istoty predpokladá, že viaceré známe rezidenčné proxy služby boli v skutočnosti len prebalenou verziou NetNutu.

Google odrezal NetNut od riadiacej infraštruktúry a zasiahol aj napadnuté aplikácie

Technický zásah prebiehal súčasne so zaistením domén zo strany amerických úradov. Google deaktivoval účty a svoje služby, ktoré NetNut používal na command-and-control komunikáciu, teda na riadenie napadnutých zariadení a výmenu príkazov s nimi.

Informácie o NetNut SDK a backendových serveroch odovzdal ďalším platformám, polícii a bezpečnostným výskumníkom. Aktualizáciu dostal aj Google Play Protect. Ochrana zabudovaná v Androide má používateľov upozorniť na známe aplikácie obsahujúce NetNut SDK, deaktivovať ich a blokovať ďalšie pokusy o inštaláciu.

Krátko po operácii vznikol zmätok okolo domén. FBI umiestnila oznámenie o zaistení na netnut.com, zatiaľ čo netnut.io bola ešte určitý čas dostupná. Objavili sa preto špekulácie, či úrady nezaistili nesprávny web.

Verejná stránka však nebola hlavným cieľom. Dôležitejšia bola backendová infraštruktúra, cez ktorú sieť komunikovala so zariadeniami. Jej narušenie môže ochromiť prevádzku aj vtedy, keď obchodný web zostane ešte určitý čas dostupný.

Google odhaduje, že operácia zmenšila dostupnú skupinu zariadení o milióny kusov. Zároveň upozorňuje, že trh s rezidenčnými proxy sieťami je úzko prepojený. Po januárovom zásahu proti sieti IPIDEA začali oslabení operátori nakupovať kapacitu od konkurencie a pokračovali ako reselleri.

Vypnutie jedného poskytovateľa preto nemusí znamenať koniec celého systému. Ak má mať zásah dlhodobý účinok, úrady a technologické firmy musia zasiahnuť viacero prepojených sietí.

Ako zistíš, či tvoja Android krabička nepatrí do podobnej siete

Google varuje najmä pred aplikáciami, ktoré ponúkajú peniaze za „zdieľanie nevyužitého internetu“ alebo šírky pásma. Používateľ by mal presne vedieť, kto bude jeho pripojenie používať a na aký účel.

Aplikácie je bezpečnejšie sťahovať z oficiálnych obchodov, kontrolovať oprávnenia VPN a proxy služieb a ponechať zapnutý Google Play Protect. Pri smart televízoroch a set-top boxoch sa oplatí vyberať známeho výrobcu, ktorý poskytuje bezpečnostné aktualizácie.

Ak máš doma lacnú Android krabičku od neznámej značky, skontroluj nainštalované aplikácie, neznáme VPN či proxy služby, spotrebu dát aj dostupnosť aktualizácií. Samotné obnovenie továrenských nastavení nemusí pomôcť, ak je škodlivý komponent súčasťou firmvéru.

Pri boxe bez podpory výrobcu, certifikácie a aktualizácií môže byť najbezpečnejším riešením jeho odpojenie od domácej siete. Otázkou totiž nie je iba to, čo cez lacnú krabičku sleduješ ty, ale aj kto cez ňu môže používať tvoje internetové pripojenie.

Google News Pridajte si Vosveteit.sk ako preferovaný zdroj informácií na Google Pridať