Uma operação internacional coordenada, que juntou a Google, o FBI e vários parceiros da indústria, desmantelou a NetNut — uma das maiores redes mundiais de proxies residenciais maliciosos, alimentada por pelo menos 2 milhões de dispositivos Android comprometidos, incluindo smart TVs e boxes de streaming como as que existem em muitos lares portugueses.
Resposta rápida: A NetNut (também conhecida como Popa) era uma rede de proxies residenciais que vendia acesso a milhões de dispositivos Android infetados, permitindo a criminosos e grupos de espionagem esconder ataques atrás de endereços IP domésticos legítimos. A Google, o FBI, a Lumen Technologies e a Shadowserver Foundation desativaram a infraestrutura de comando e controlo e apreenderam domínios, incluindo o netnut.com. Se tem uma box Android de origem duvidosa, o seu dispositivo pode ter feito parte desta rede.
O que era a NetNut e como funcionava
As redes de proxies residenciais funcionam comprometendo dispositivos domésticos e vendendo o acesso a terceiros. O tráfego malicioso dos clientes — cibercriminosos, operadores de fraude, grupos de espionagem — é encaminhado através dos endereços IP residenciais das vítimas, tornando-o praticamente indistinguível de atividade legítima de um utilizador doméstico.
Segundo o Google Threat Intelligence Group (GTIG), a NetNut controlava pelo menos 2 milhões de dispositivos infetados a nível global, incluindo smart TVs e boxes de streaming, alimentados por aplicações trojanizadas e botnets como a Badbox 2.0, que empacotam plugins de proxy. Em muitos casos, o malware vem pré-instalado de fábrica em dispositivos de baixo custo, ou é adicionado através de aplicações maliciosas descarregadas pelo utilizador.
O resultado para as vítimas: os seus dispositivos funcionam como “nós de saída” de tráfego criminoso, o que pode levar a que o seu IP doméstico seja sinalizado como suspeito ou bloqueado por fornecedores de internet e serviços online — sem que o utilizador perceba porquê.
A dimensão do problema: 316 grupos de ameaça numa só semana
A escala de utilização criminosa da NetNut era notável. O GTIG revelou que, numa única semana do mês passado, observou 316 clusters de ameaça distintos a utilizar nós de saída suspeitos da NetNut — incluindo grupos de cibercrime e de espionagem. Os atacantes usavam a rede para aceder à sua própria infraestrutura, conduzir ataques de password spraying (tentativas massivas de login com senhas comuns) e alcançar os ambientes das vítimas sem revelar a sua origem real.

Como foi desmantelada
A operação envolveu a Google, o FBI, a Lumen Technologies, a Shadowserver Foundation e outros parceiros da indústria. O FBI apreendeu vários domínios usados pela rede, incluindo o netnut.com. A Google, por seu lado, desativou as contas e serviços na sua infraestrutura que os operadores da NetNut usavam para comando e controlo (C2) do malware, bloqueando o acesso a “infraestrutura de backend crítica”.
Para proteger os utilizadores, a Google ativou avisos automáticos e a desativação de aplicações infetadas através do Google Play Protect, o mecanismo de segurança integrado no Android. A empresa partilhou ainda detalhes técnicos dos SDK e da infraestrutura C2 da NetNut com fornecedores de plataformas, autoridades policiais e investigadores de segurança.
A ação segue-se à disrupção da rede IPIDEA no início do ano e insere-se num esforço continuado da Google contra as redes de proxies residenciais. Um detalhe relevante apontado pela Mandiant: a indústria de proxies é profundamente interligada, com operadores a comprar e revender capacidade de botnet uns aos outros — pelo que o desmantelamento de uma rede leva frequentemente os clientes a migrar para concorrentes.
O risco em Portugal: as boxes Android de origem duvidosa
Este caso tem relevância direta para os consumidores portugueses. As boxes de streaming Android de baixo custo — frequentemente compradas online em marketplaces internacionais ou usadas para aceder a conteúdos piratas — são um dos principais vetores das botnets como a Badbox. Vários destes dispositivos chegam ao mercado já infetados de fábrica, sem que o comprador tenha forma fácil de o detetar.
Um dispositivo comprometido em casa não afeta apenas o próprio: pode ser usado para lançar ataques contra terceiros, associando o IP doméstico da família a atividade criminosa.
Como se proteger
- Compre dispositivos Android certificados — verifique se a marca consta da lista de parceiros certificados Play Protect da Google (android.com/certified).
- Evite boxes de streaming genéricas de baixo custo sem marca reconhecida, especialmente as vendidas com “conteúdos ilimitados” pré-instalados.
- Mantenha o Google Play Protect ativo e não instale aplicações de fontes desconhecidas (APKs fora da Play Store).
- Monitorize o tráfego da sua rede doméstica — atividade constante de um dispositivo em standby é um sinal de alerta.
- Reinicie de fábrica ou substitua dispositivos suspeitos — em caso de infeção de firmware, a substituição é frequentemente a única solução segura.
Porque é que isto importa
O desmantelamento da NetNut mostra que os dispositivos domésticos “inteligentes” se tornaram infraestrutura ativa do cibercrime global. Cada smart TV ou box infetada é simultaneamente vítima e arma. Para as organizações, este caso reforça também um alerta técnico: o tráfego malicioso já não vem de endereços “suspeitos” — vem de IPs residenciais legítimos, o que torna as defesas baseadas apenas em reputação de IP cada vez menos eficazes.
Artigos relacionados
- Threat Intelligence: Sumário Executivo — conhecer o adversário para antecipar ataques
- Ransomware: Sumário Executivo — o que é, como funciona e como se proteger
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Google (GTIG), pela Mandiant e pelo BleepingComputer.
