Popa là một botnet Android quy mô lớn, hoạt động ít nhất 4 năm, biến TV box thành proxy dân cư để chuyển tiếp lưu lượng Internet phục vụ gian lận quảng cáo, đánh cắp tài khoản và thu thập dữ liệu.

Popa có liên quan đến công ty nào?

Các nhà nghiên cứu xác định Popa liên quan đến NetNut, nhà cung cấp proxy dân cư thuộc Alarum Technologies Ltd [NASDAQ: ALAR]. SDK Popa được bán cho bên thứ ba, nhưng lưu lượng ra ngoài cho thấy NetNut vẫn sử dụng nó.

Làm thế nào để bảo vệ TV box khỏi botnet Popa?

Tránh mua TV box giá rẻ không rõ nguồn gốc, đặc biệt các thiết bị quảng cáo phát trực tuyến miễn phí. Luôn cập nhật phần mềm và chỉ cài ứng dụng từ nguồn đáng tin cậy.

Botnet Popa biến TV box Android thành proxy trái phép, liên quan đến công ty Israel NetNut

Trong suốt 4 năm qua, botnet Popa đã lây nhiễm hàng triệu TV box Android, biến chúng thành các proxy dân cư phục vụ quảng cáo gian lận, đánh cắp tài khoản và thu thập dữ liệu hàng loạt. Các nhà nghiên cứu an ninh mạng xác định Popa có liên kết chặt chẽ với NetNut, nhà cung cấp proxy dân cư thuộc công ty đại chúng Israel Alarum Technologies Ltd [NASDAQ: ALAR].

Botnet Popa, một mạng lưới thiết bị Android bị chiếm quyền điều khiển quy mô lớn, đã hoạt động ít nhất 4 năm qua, buộc hàng triệu TV box chạy Android chuyển tiếp lưu lượng Internet liên quan đến gian lận quảng cáo, đánh cắp tài khoản và thu thập dữ liệu hàng loạt. Theo các báo cáo từ nhiều công ty an ninh mạng công bố trong tuần này, Popa có liên quan đến NetNut, một dịch vụ proxy dân cư do Alarum Technologies Ltd [NASDAQ: ALAR] điều hành.

Popa khác biệt so với botnet truyền thống

Không giống các botnet thông thường thường được dùng để tấn công từ chối dịch vụ phân tán (DDoS), Popa được thiết kế với một mục đích duy nhất: thiết lập lớp giao tiếp liên tục có khả năng đăng ký thiết bị, duy trì kết nối mã hóa lâu dài và mở các đường hầm giao tiếp theo yêu cầu. Các chuyên gia cho biết Popa là một thành phần plugin của botnet Vo1d, một chiến dịch phần mềm độc hại quy mô lớn nhắm vào các TV box Android không chính thức.

Các TV box này được bán dưới hàng nghìn thương hiệu và model khác nhau, quảng cáo khả năng phát trực tuyến hàng trăm dịch vụ video đăng ký chỉ với một khoản phí một lần. Tuy nhiên, như FBI và các chuyên gia đã cảnh báo, các thiết bị này thường được cài sẵn phần mềm biến TV của người dùng thành proxy dân cư, cho phép bất kỳ ai định tuyến lưu lượng Internet qua thiết bị đó. Một số mạng proxy này thậm chí không ngăn chặn khách hàng độc hại xâm nhập vào mạng nội bộ của nạn nhân.

Phát hiện từ các công ty bảo mật

Manh mối đầu tiên về nguồn gốc của Popa xuất hiện trong báo cáo năm 2025 từ công ty bảo mật Trung Quốc XLAB, xác định ít nhất 9 tên miền dùng để đăng ký và điều khiển các thiết bị bị nhiễm. Trong báo cáo công bố ngày 23/06/2026, công ty bảo mật Qurium cho biết họ tình cờ phát hiện một số tên miền tương tự khi điều tra các vụ thu thập dữ liệu quy mô lớn nhắm vào tổ chức của họ vào tháng 5/2026, với hoạt động trải đều trên hơn 1,4 triệu địa chỉ Internet.

Qurium tìm thấy hàng chục tên miền điều khiển Popa, bao gồm gmslb[.]net, safernetwork[.]io, tera-home[.]com và ninjatech[.]io. Đặc biệt, gmslb[.]net xuất hiện trong nhiều ứng dụng phát video lậu như CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob và HD/OceanStreams. Hầu hết các tên miền điều khiển Popa đã bị thu giữ hoặc vô hiệu hóa vào tháng 7/2025 sau chiến dịch phá vỡ botnet Badbox 2.0 (liên quan đến Vo1d) của Google, HUMAN Security và Trend Micro. Ngay sau đó, hàng chục tên miền mới được đăng ký, trong đó có ninjatech[.]io vốn không phải là mới.

Liên kết với NetNut và Alarum Technologies

Ninjatech là công ty do Moishi Kramer thành lập, người có hồ sơ LinkedIn cho thấy ông là phó chủ tịch nghiên cứu và phát triển tại NetNut. Kramer được ghi nhận đã giúp xây dựng NetNut từ đầu, thiết kế kiến trúc và mở rộng quy mô trước khi công ty được Alarum Technologies mua lại. Trả lời qua email, Kramer cho biết Ninjatech ngừng hoạt động khoảng 5 năm trước, khi công ty bán một bộ phát triển phần mềm (SDK) có tên Popa, được thiết kế để sử dụng một phần nhỏ băng thông của thiết bị và chỉ chạy sau khi ứng dụng chủ có được sự đồng ý của người dùng. Ông khẳng định mã nguồn đã được bán và cấp phép cho bên thứ ba, và ông cũng như NetNut không xây dựng, vận hành hoặc duy trì cơ sở hạ tầng Popa.

Tuy nhiên, báo cáo từ công ty theo dõi proxy Synthient công bố cùng ngày cho thấy phân tích SDK Popa gần đây phát hiện lưu lượng ra ngoài rõ ràng liên quan đến NetNut. Synthient kết luận với độ tin cậy cao rằng các thiết bị chạy Popa chuyển tiếp lưu lượng từ khách hàng của NetNut, chứng minh Popa vẫn đang được NetNut sử dụng như một phần của nhóm proxy.

Alarum Technologies, công ty mẹ của NetNut có trụ sở tại Tel Aviv, bác bỏ các cáo buộc, cho rằng các báo cáo chứa “những khẳng định không chính xác và suy luận sai lệch”. Họ khẳng định SDK được thiết kế để chia sẻ băng thông, không biến thiết bị thành hệ thống do phần mềm độc hại kiểm soát. NetNut cho biết họ có các chính sách, quy trình và biện pháp kỹ thuật để thúc đẩy việc sử dụng dịch vụ hợp pháp và có trách nhiệm, bao gồm kiểm tra KYC (biết khách hàng của bạn) và giám sát khả năng lạm dụng.

Tuy nhiên, báo cáo từ dịch vụ theo dõi proxy Spur công bố ngày 8/6 khẳng định NetNut không yêu cầu xác minh doanh nghiệp hoặc thủ tục KYC có ý nghĩa trước khi cho phép khách hàng mua quyền truy cập proxy. Spur cho biết bất kỳ ai cũng có thể đăng ký, thanh toán và định tuyến lưu lượng qua không gian địa chỉ của đối tác, bao gồm cả các tổ chức mà người dùng chưa bao giờ đồng ý. Ngoài ra, nhiều nhà bán lại và nhãn trắng hạ nguồn đóng gói lại cùng một nhóm proxy ISP dưới thương hiệu riêng, thường không thực hiện KYC nào, chỉ cần một địa chỉ email dùng một lần và 5 đô la tiền điện tử là có thể mua quyền truy cập.

Synthient cũng phát hiện rằng mặc dù các bản dựng Popa gần đây nhất (từ 3 tháng trước) có thêm khả năng yêu cầu sự đồng ý của người dùng trước khi cài đặt thành phần proxy, nhưng không phải tất cả các biến thể hoặc phiên bản trước đây đều có chức năng này. Trong số hơn 20 nhà phát hành Popa chính hãng được phân tích, không có nhà phát hành nào yêu cầu sự đồng ý của người dùng.

Theo Krebs on Security

Ảnh: Tima Miroshnichenko / Pexels