O FBI e o Google desmantelaram a NetNut, uma rede proxy residencial que sequestrou ao menos 2 milhões de smart TVs e TV boxes Android em todo o mundo para rotear tráfego malicioso de criminosos e grupos de espionagem. A operação apreendeu centenas de domínios e cortou o acesso a milhões de dispositivos, mas especialistas alertam que outras redes proxy continuam ativas — e muitos aparelhos no Brasil ainda podem estar comprometidos.
2 milhões de aparelhos sequestrados
O FBI, em coordenação com o Google, a Lumen Technologies e a Shadowserver Foundation, apreendeu centenas de domínios ligados à NetNut (também rastreada como Popa), uma das maiores redes de proxy residencial do mundo. A operação atingiu ao menos 2 milhões de dispositivos comprometidos — a maioria smart TVs e TV boxes Android que foram convertidos em nós de tráfego sem o conhecimento de seus proprietários.
A Google Threat Intelligence Group (GTIG) estima que a rede é alimentada por aplicações trojanizadas e botnets como Badbox 2.0. Em uma única semana de junho de 2026, a GTIG identificou 316 clusters distintos de ameaças usando nós de saída da NetNut — entre criminosos cibernéticos e grupos de espionagem. A rede servia para mascarar ataques de password spray, acesso a infraestrutura maliciosa e até invasão de redes domésticas.
Como sua TV vira arma
Redes proxy residenciais funcionam assim: software malicioso é instalado em dispositivos domésticos — seja de fábrica em hardware de marca desconhecida ou via apps aparentemente inofensivos. Uma vez ativado, o aparelho se torna um “nó de saída”: tráfego de estranhos passa pela sua conexão de internet, e qualquer abuso cometido por esse tráfego aparece registrado sob o seu endereço IP.
O problema vai além da rede doméstica. Segundo o relatório do Google compartilhado com o BleepingComputer, quando um dispositivo vira nó de saída, tráfego não autorizado entra na rede local. Isso significa que atacantes podem acessar outros aparelhos na mesma rede — computadores, smartphones, câmeras — a partir da TV ou do TV box infectado.
A empresa por trás da NetNut é a Alarum Technologies, listada na Nasdaq sob o ticker ALAR. A Synthient, uma das empresas que rastreou a origem do botnet, demonstrou que tráfego enviado para o gateway comercial da NetNut saía por um dispositivo inscrito na rede Popa — provando que a operação comercial e o botnet são a mesma coisa.
Apps que pagam por sua internet
Uma das formas mais comuns de recrutamento são apps que oferecem dinheiro em troca de “banda não utilizada” ou “compartilhamento de internet”. A Synthient testou mais de 20 aplicações e nenhuma mostrou uma tela de consentimento clara ao usuário. A Spur, outra empresa de rastreio de proxies, encontrou que 42% dos apps disponíveis para TVs LG (webOS) incluem SDKs que transformam a televisão em proxy residencial permanente. Nas TVs Samsung com Tizen, mais de 25% dos apps têm componentes similares.
No Brasil, onde TV boxes genéricos — vendidos por menos de R$ 200 em marketplaces — são populares para acesso a streaming e IPTV, o risco é alto. A maioria desses aparelhos roda Android sem certificação Google Play Protect, o que elimina a principal defesa automática contra malware. Esse fenômeno não é novo: reportamos recentemente que TVs inteligentes estavam sendo convertidas em proxy de web scraping para alimentar sistemas de IA.
Empresa pública, não grupo clandestino
A diferença da NetNut para a maioria dos botnets está na estrutura corporativa. Em junho de 2026, pesquisadores da Qurium, Synthient, Nokia Deepfield e Spur publicaram evidências conectando o Popa à Alarum Technologies. A empresa rejeitou a classificação de “botnet” e afirmou que seus serviços operam com consentimento. A Synthient rebateu: nenhum dos apps testados apresentou consentimento explícito.
| Dado | NetNut/Popa |
|---|---|
| Dispositivos comprometidos | 2+ milhões |
| Tipos de aparelhos | Smart TVs, TV boxes Android |
| Threat clusters ativos (uma semana) | 316 |
| Apps com proxy SDK (LG webOS) | 42% |
| Apps com proxy SDK (Samsung Tizen) | 25% |
| Empresa responsável | Alarum Technologies (Nasdaq: ALAR) |
O advogado da Alarum, Omer Weiss, declarou que a empresa vai cooperar com as investigações. O FBI apreendeu o domínio principal netnut.com e centenas de outros relacionados, substituindo a página por um banner de apreensão.
DDoS e o efeito cascata
Benjamin Brundage, fundador da Synthient, ressaltou que a derrubada da NetNut também deve enfraquecer grandes botnets DDoS construídos sobre redes residenciais. Em janeiro de 2026, a Synthient revelou que criminosos haviam construído o Kimwolf — até então o maior botnet DDoS do mundo — canalizando tráfego por conexões proxy da IPIDEA para infectar outros dispositivos Android atrás do firewall da vítima. A infecção de dispositivos domésticos por botnets é um padrão recorrente que também já atingiu roteadores D-Link abandonados no Brasil e no mundo.
Este é o segundo grande golpe em redes proxy em 2026. Em janeiro, o Google já havia desmantelado a IPIDEA, a maior concorrente da NetNut, também com sede na China. Após essa ação, a NetNut absorveu parte significativa do mercado.
O que fazer agora
Se você tem um TV box genérico em casa — MXQ, TX3, X96, ou qualquer marca sem nome reconhecível — os passos são diretos:
- Verifique se o aparelho exibe o selo Google Play Protect ou certificação de Android TV oficial. Se não tiver, considere substituí-lo.
- Revise os apps instalados e desinstale qualquer um que prometa pagamento por compartilhamento de banda ou internet.
- Em TVs Samsung e LG, audite os apps de terceiros instalados e remova os que não reconhece.
- Mantenha o Google Play Protect ativado em todos os dispositivos Android — ele desabilita apps conhecidos como proxy malicioso.
- Monitore o consumo de banda da rede: tráfego inexplicavelmente alto pode indicar que um aparelho está sendo usado como proxy.
A Google alerta que a derrubada de uma rede não elimina o problema. Quando um operador perde sua infraestrutura, ele passa a comprar capacidade de competidores — virando revendedor. A demanda por endereços residenciais não desaparece, só muda de provedor.
Referências
- Krebs on Security — FBI Seizes NetNut Proxy Platform, Popa Botnet
- The Hacker News — Google Disrupts NetNut Residential Proxy Network
- BleepingComputer — NetNut proxy network disrupted, 2 million infected devices cut off
- Security Affairs — Law enforcement operation disrupted NetNut
- The Register — NetNut cracked as Google and FBI target 2 million-device botnet