Uma rede massiva de dispositivos Android, conhecida como botnet Popa, tem transformado milhões de TV boxes de consumo em pontos de retransmissão de tráfego de internet nos últimos quatro anos. Segundo reportagem do Krebs on Security, pesquisadores de diversas empresas de segurança concluíram que a infraestrutura é utilizada pela NetNut, um provedor de “proxies residenciais” operado pela Alarum Technologies, empresa de capital aberto listada na Nasdaq sob o ticker ALAR.

Embora a botnet não execute ataques destrutivos tradicionais, como a negação de serviço distribuída (DDoS), seu propósito é criar uma camada persistente de comunicação capaz de registrar dispositivos e abrir túneis de tráfego sob demanda. A descoberta coloca em xeque a integridade de dispositivos de streaming de baixo custo, frequentemente vendidos em grandes plataformas de e-commerce com promessas de acesso ilimitado a serviços de vídeo mediante taxas únicas, mas que chegam ao consumidor com software malicioso pré-instalado.

A conexão entre o kit de desenvolvimento e a infraestrutura

As evidências que ligam a Popa à NetNut emergiram após análises de empresas como a Qurium e a Synthient, que mapearam domínios de controle utilizados para coordenar a rede. A Qurium identificou que domínios associados ao controle da botnet, como o ninjatech.io, mantinham conexões diretas com o ecossistema da NetNut. O domínio em questão é vinculado a Moishi Kramer, executivo que, em seu perfil no LinkedIn, afirma ter liderado a arquitetura e o escalonamento da NetNut antes de sua aquisição pela Alarum.

Em resposta, Kramer declarou que a empresa Ninjatech encerrou suas operações há cerca de cinco anos, após vender um kit de desenvolvimento de software (SDK) chamado Popa. Ele sustenta que o código foi licenciado para terceiros e que não possui controle sobre como essa tecnologia é implantada atualmente. A Alarum Technologies, por sua vez, rejeitou as conclusões dos relatórios, classificando-as como imprecisas e negando que a tecnologia transforme dispositivos em sistemas controlados por malware, defendendo que sua rede segue políticas de conformidade e consentimento.

Mecanismos de monetização do tráfego residencial

O modelo de negócio por trás da Popa reflete a crescente demanda por proxies residenciais, que se tornaram ativos valiosos para empresas que buscam contornar bloqueios de segurança em datacenters. Como o tráfego originado de endereços IP residenciais é menos propenso a ser filtrado por firewalls e sistemas de proteção, ele é altamente requisitado para atividades de coleta massiva de dados, essenciais para o treinamento de modelos de linguagem de grande escala (LLMs) e outras aplicações de inteligência artificial.

Empresas como a Synthient apontam que, embora builds recentes da Popa tenham integrado mecanismos de consentimento, versões anteriores e variantes ativas não oferecem ao usuário a opção de optar por não participar da rede. O resultado é uma infraestrutura invisível que opera silenciosamente, aproveitando a largura de banda de consumidores desavisados para viabilizar operações de scraping que, por vezes, sobrecarregam sites, bibliotecas e instituições acadêmicas, causando instabilidades sistêmicas em serviços legítimos.

Implicações para a segurança corporativa e regulatória

A proliferação dessas redes não se limita a TV boxes. Pesquisas da Infoblox indicam que SDKs de proxy residencial estão embutidos em uma vasta gama de aplicativos, incluindo VPNs, leitores de PDF e jogos, atingindo cerca de 65% das redes corporativas monitoradas. A presença desses dispositivos em ambientes de trabalho cria riscos significativos, pois o tráfego malicioso originado por terceiros pode ser erroneamente atribuído à empresa, gerando exposição legal e danos à reputação.

Reguladores e fabricantes de hardware começam a reagir. Enquanto empresas como Amazon e Roku proibiram o uso de SDKs de proxy em suas plataformas de TV, marcas como LG e Samsung ainda enfrentam desafios, com uma parcela significativa de seus aplicativos contendo componentes de retransmissão de dados. A falta de um modelo mental claro sobre o que significa “vender acesso” a um endereço IP residencial deixa o consumidor final, especialmente crianças e usuários leigos, vulnerável a uma exploração constante de sua infraestrutura doméstica.

O futuro da transparência na economia de dados

O que permanece incerto é se a pressão regulatória será suficiente para conter a expansão desses serviços de proxy. A natureza descentralizada e a facilidade de revenda desses acessos por meio de intermediários dificultam a fiscalização efetiva. À medida que a demanda por dados para IA continua a crescer, a linha entre a utilização legítima de largura de banda e a exploração de dispositivos de consumo continuará a ser testada.

Observar a evolução das políticas de segurança em sistemas operacionais de smart TVs e a postura de órgãos de defesa do consumidor será crucial para entender se o setor conseguirá se autorregular ou se enfrentará medidas mais severas de controle. A questão central é como garantir que o usuário mantenha o controle real sobre sua conexão, em um ecossistema onde a monetização de dados invisíveis tornou-se uma prática padrão de mercado.

Com reportagem de Brazil Valley

Source · Krebs on Security