Skip to content
RiverCore
NetNut Abschaltung: Google und FBI zerschlagen ein 2-Millionen-Geräte-Botnetz
residential proxy botnetNetNut takedownFBI Google operation2 million device botnet dismantledhijacked smart TV proxy network

NetNut Abschaltung: Google und FBI zerschlagen ein 2-Millionen-Geräte-Botnetz

4 Jul 20267 Min. LesezeitJames O'Brien

Stellen Sie sich Residential-Proxy-Botnetze wie das Wasserleitungsnetz einer Stadt vor: Niemand bemerkt die Rohre, bis irgendwo Abwasser ins Trinkwasser gelangt. NetNut war eine der dickeren Hauptleitungen – über zwei Millionen gekaperte Smart-TVs, Streaming-Boxen und Android-Geräte, die Angreifer-Traffic durch gewöhnliche Heimbreitbandverbindungen schleusten. Am 2. Juli griffen Google, das FBI und der Steuerstrafermittlungsdienst IRS Criminal Investigation zum Schraubenschlüssel.

Das Interessante ist nicht die Anzahl der Geräte. Es geht darum, wie das Wasser überhaupt schmutzig wurde – und warum die Rohre für den nächsten Anbieter weiterhin fließen werden.

Die Zahlen

Beginnen wir mit dem Geräte-Pool. Zwei Millionen Endpunkte sind keine Randerscheinung – das ist ernsthafte Infrastruktur. Wie Latest Hacking News berichtete, verfolgten Forscher das Netzwerk unter dem Namen Popa, und es wurde kommerziell unter der Marke NetNut verkauft. Zwei Einspeisewege bauten diesen Pool auf: Günstige Hardware, die bereits mit vorinstalliertem Proxy-Code ausgeliefert wurde, und kostenlose Apps mit einem versteckten SDK, das die Installation zur Rekrutierung machte.

Die SDK-Penetrationszahlen von Spur sollten jeden Plattformingenieur aufhorchen lassen. Über 20 % der Samsung-Tizen-Apps, die untersucht wurden, enthielten ein Residential-Proxy-SDK. Bei LG webOS lag dieser Anteil bei 42 %. Keine einzige davon informierte den Nutzer ordnungsgemäß darüber. Wer jemals ein mobiles SDK ausgeliefert und eine Datenschutzrichtlinie durch die Rechtsabteilung verhandelt hat, weiß, wie weit das außerhalb jeder Norm liegt.

Dann gibt es die Nachfrageseite. Googles Analysten verfolgten 316 verschiedene Bedrohungscluster, die in einer einzigen Woche im Juni vermutete NetNut-Exit-Nodes nutzten. Nicht 316 Anfragen – 316 separate Cluster mit Angreiferaktivitäten. Der häufigste Anwendungsfall war Password-Spraying; Content-Scraping, Anzeigenbetrug und Account-Takeover vervollständigten laut Krebs on Security den Mietkatalog.

Die Abschaltung selbst erfolgte in zwei Phasen. Googles Threat Intelligence Group deaktivierte die Konten und Dienste, die NetNut für Command and Control nutzte. Das FBI und IRS Criminal Investigation beschlagnahmten Hunderte von Domains, die mit dem Netzwerk verbunden waren, wobei Lumen Technologies, Shadowserver und andere Partner technische Unterstützung leisteten. Google integrierte anschließend die Erkennung in Play Protect, sodass Android-Geräte vor Apps gewarnt werden, die den Proxy-Code enthalten, und bekannte Täter automatisch deaktiviert werden.

Noch eine Zahl, die es verdient, kurz innezuhalten: Dies ist Googles zweite große Störungsaktion gegen ein Residential-Proxy-Botnetz in diesem Jahr. IPIDEA wurde im Januar abgeschaltet. Zwei große Abschaltungen in sechs Monaten sagen etwas sowohl über das Ausmaß des zugrundeliegenden Marktes als auch über die Rate aus, mit der er Verluste absorbieren kann.

Was wirklich neu ist

Das Neue ist nicht, dass ein Botnetz zerschlagen wurde. Abschaltungen passieren. Neu ist die Unternehmensadresse, zu der die Hauptleitung zurückführt.

NetNut lässt sich auf Alarum Technologies zurückführen, ein börsennotiertes israelisches Unternehmen, das an der Nasdaq gelistet ist. Keine Briefkastenfirma, kein Telegram-Handle, sondern ein tatsächlich eingetragenes Unternehmen mit öffentlichen Aktionären. Forscher von Qurium, Synthient, Nokia Deepfield und Spur verlinkten das Popa-Botnetz im Juni durch kontrollierte Tests mit NetNut. Der Rechtsanwalt von Alarum teilte Krebs mit, das Unternehmen nehme die Sache ernst und werde vollständig mit den Strafverfolgungsbehörden kooperieren, während das Unternehmen sein Produkt zuvor als einvernehmliches Bandwidth-Sharing und nicht als Botnetz bezeichnet hatte.

Diese Darstellung hält den SDK-Zahlen nicht stand. Wenn zwei von fünf getesteten webOS-Apps ein Proxy-SDK enthalten, von dem der Nutzer nie erfahren hat, leistet das Wort „Einwilligung" sehr schwere Arbeit. Das ist der langweilige, aber wichtige Teil: die Rechtfiktion, dass Verbraucher zugestimmt haben, den Password-Spraying-Traffic eines anderen durch ihren Smart-TV zu leiten, weil sie für einen Fußball-Stream eine EULA weggeklickt haben.

Das zweite wirklich neue Element ist die Reaktion auf Plattformebene. Play Protect markiert nun Apps, die NetNuts Proxy-Code enthalten, und deaktiviert bekannte Täter automatisch. Google teilte die technischen Fingerabdrücke der SDKs und der Backend-Infrastruktur mit Plattformanbietern, Forschern und Strafverfolgungsbehörden. Das ist ein Wandel von „wir haben die Konten gesperrt" zu „wir werden weiterhin im Endpunkt-Maßstab nach dem Muster suchen." Aus ingenieurstechnischer Sicht verwandelt die Verteilung von Erkennungssignaturen an Play Protect jedes Android-Gerät in einen Sensor. Das ist eine grundlegend andere Haltung als alleinige Domain-Beschlagnahme.

Der dritte neue Aspekt ist die Multi-Tenant-Natur des Kompromisses. Nokia Deepfield, Spur und Synthient dokumentierten Mirai-DDoS-Varianten, die auf NetNut-infizierter Hardware liefen, und ein NetNut-Plugin wurde mit Badbox 2.0 in Verbindung gebracht, dem Android-Botnetz, dessen Betreiber Google im Juli 2025 verklagte. Ein bösartiges SDK, mehrere parallele kriminelle Geschäfte, die darauf aufgestapelt wurden. Das eigentliche Handelsgut ist nicht das Botnetz, sondern Root-Zugriff auf das Gerät.

Was Engineering-Teams einkalkulieren sollten

Die meisten erfahrenen Ingenieure, die Fraud-, Auth- oder WAF-Stacks betreiben, haben bereits akzeptiert, dass der Ruf von Residential-IPs als Fraud-Signal wertlos ist. Das ist schon länger bekannt. Wer immer noch auf Rechenzentrumsbasierte ASN-Blockierung setzt und das Betrugsprävention nennt, war schon veraltet, bevor NetNut einen Namen hatte.

Was weniger einkalkuliert ist – und meiner Meinung nach Beachtung verdient – ist die Tiefe des Supply-Chain-Problems. Das mentale Modell der meisten Teams lautet: „Malware infiziert Gerät, Gerät tritt Botnetz bei." Die Realität hier ist eher: „SDK wird in eine App eingebettet, App wird über einen offiziellen Store ausgeliefert, TV verlässt die Fabrik mit vorinstalliertem Code." Der Kompromiss verlagert sich flussaufwärts von allem, was ein Endnutzer oder eine IT-Richtlinie sinnvoll abfangen kann.

Für iGaming- und Fintech-Plattformen hat das eine konkrete Konsequenz. Login-Überwachung, die darauf basiert, dass „diverse IPs mit normalem Residential-ASN-Verhalten gleich Mensch" bedeutet, muss sich weiter in Richtung Verhaltensignale entwickeln: Anfragekadenz, TLS-Fingerprint-Varianz, Tastenanschlag- und Zeigertelemetrie, Session-Graph-Analyse. Password-Spraying war aus gutem Grund der häufigste NetNut-Anwendungsfall – es umgeht per-IP-Rate-Limiting konstruktionsbedingt. Wer schon mal dabei zugeschaut hat, wie sich eine Low-and-Slow-Credential-Stuffing-Welle mit acht Anfragen pro Stunde pro IP über einen Login-Endpunkt kriecht, kennt die Form.

Was überraschend ist – und wahrscheinlich nicht einkalkuliert – ist, wie schnell Google bereit ist, eigene Kontoinfrastruktur zu opfern, um diese Netzwerke zu stören. Die Deaktivierung der Google-Konten, die NetNut für Command and Control nutzte, ist für sich genommen ein günstiger Schachzug, signalisiert aber, dass GTIG diese Missbrauchsklasse strategisch und nicht reaktiv behandelt. Zwei Abschaltungen in einem Jahr deuten auf ein Programm hin, nicht auf einen Einzelfall.

Gegenmeinung

Hier würde ich der euphorischen Lesart widersprechen. Google selbst beschrieb die NetNut-Aktion als „erhebliche Beeinträchtigung" des Netzwerks und seines Geschäfts – nicht als Zerschlagung. Diese Formulierung ist bedeutsam.

Einzelne Residential-Proxy-Anbieter sind strukturell resilient, weil sie sich gegenseitig stützen. Wenn ein Pool getroffen wird, kaufen Anbieter freie Kapazitäten von Konkurrenznetzen und verkaufen sie unter eigener Marke weiter. Der Markt für gestohlene Residential-Bandbreite ist fungibel auf eine Weise, die der Markt für beispielsweise Ransomware-Affiliate-Gruppen nicht ist. Man schaltet NetNut ab, die Nachfrage wechselt zu dem Anbieter, der noch steht, und die SDKs in diesen zwei Millionen Geräten deinstallieren sich nicht über Nacht wie von Geisterhand.

Das schwierigere Problem ist, dass der wirtschaftliche Anreiz, Proxy-SDKs in kostenlose Apps einzubetten, unverändert geblieben ist. Die Zahlen von 20 % bei Tizen und 42 % bei webOS beschreiben ein gesamtes Ökosystem, nicht einen einzelnen schlechten Akteur. Solange die App-Store-Review-Prozesse auf Tizen, webOS und der Android-Seite nicht anfangen, nicht offengelegte Proxy-SDKs als Richtlinienverstoß mit Konsequenzen zu behandeln, bleibt der Rekrutierungskanal offen. Einvernehmliches Bandwidth-Sharing als Geschäftsmodell verschwindet nirgendwo – es wird lediglich etwas bessere Anwälte bekommen.

Wichtigste Erkenntnisse

  • Residential-IP-Reputation ist als Fraud-Signal wertlos. Mit SDK-Penetration von bis zu 42 % in manchen App-Ökosystemen ist es eine verlorene Wette, Consumer-IP-Bereiche als inhärent vertrauenswürdig zu behandeln. Verlagern Sie das Gewicht auf Verhaltens- und Session-Graph-Signale.
  • Die Supply Chain verläuft flussaufwärts des Geräts. Wenn TVs mit vorinstallierter Malware ausgeliefert werden und SDKs in offiziellen Store-Apps stecken, ist Endpunktsicherheit nicht der Ort, wo das behoben wird. Plattform-Review-Richtlinien sind es.
  • Rechnen Sie mit Password-Spraying im Consumer-IP-Maßstab. Der häufigste NetNut-Anwendungsfall umgeht per-IP-Rate-Limiting konstruktionsbedingt. Rate-Limiting sollte auf Identität und Verhalten basieren, nicht auf IPs.
  • Ein kompromittiertes Gerät beherbergt mehrere kriminelle Mieter. Mirai-Varianten und Badbox-2.0-Plugins liefen auf derselben Hardware. Die Erkennung muss nach dem zugrundeliegenden Zugriff suchen, nicht nach dem spezifischen Payload.
  • Rechnen Sie innerhalb von Monaten mit der nächsten Marke. IPIDEA im Januar, NetNut im Juli. Die Infrastruktur überlebt die Marke, und Google selbst bezeichnete dies als Beeinträchtigung, nicht als Zerschlagung.

Zurück zur Hauptleitung. Man kann einen Lieferanten abschalten, aber wenn zwei von fünf Hähnen in der Stadt still und heimlich an dasselbe unterirdische Netzwerk angeschlossen sind, ist das Leck ein gesellschaftliches Problem, kein Sanitärproblem. NetNut ist vom Netz. Die Rohre sind noch da.

Häufig gestellte Fragen

F: Was ist ein Residential-Proxy-Botnetz und warum ist es gefährlich?

Es handelt sich um ein Netzwerk aus Verbrauchergeräten – Smartphones, Smart-TVs, Streaming-Boxen –, deren Internetverbindungen genutzt werden, um den Traffic anderer ohne sinnvolle Nutzereinwilligung weiterzuleiten. Es ist gefährlich, weil der Angreifer-Traffic von gewöhnlichen Heim-IP-Adressen zu kommen scheint und so Fraud-Systeme umgeht, die auf IP-Reputation setzen, um Bots, VPNs oder Rechenzentrum-Traffic zu erkennen.

F: Wie gelangte NetNut auf zwei Millionen Geräte?

Auf zwei Wegen. Einige günstige Smart-TVs und Streaming-Boxen wurden ab Werk mit vorinstalliertem Proxy-Code ausgeliefert. Andere infizierten sich, als Nutzer kostenlose Apps installierten, die ein verstecktes SDK enthielten – Spur fand dieses Muster in über 20 % der Samsung-Tizen-Apps und 42 % der LG-webOS-Apps, die untersucht wurden, ohne dass eine ordnungsgemäße Offenlegung erfolgte.

F: Wird die NetNut-Abschaltung den Missbrauch von Residential Proxies tatsächlich stoppen?

Wahrscheinlich nicht dauerhaft. Google selbst beschrieb die Aktion als „erhebliche Beeinträchtigung" und nicht als Zerschlagung, und einzelne Proxy-Anbieter kaufen routinemäßig freie Kapazitäten von Konkurrenten, wenn ihr eigener Pool getroffen wird. Es ist die zweite derartige Abschaltung im Jahr 2025 nach IPIDEA im Januar, und die zugrundeliegende SDK-Supply-Chain wurde nicht behoben.

JO
James O'Brien
RiverCore Analyst · Dublin, Ireland
TEILEN
// ÄHNLICHE ARTIKEL
StartseiteLösungenProjekteÜber unsKontakt
News06
Dublin, Irland · EUGMT+1
LinkedIn
🇩🇪DE