O FBI e o Google desmantelaram a NetNut, uma rede proxy residencial que sequestrou ao menos 2 milhões de smart TVs e TV boxes Android em todo o mundo para rotear tráfego malicioso de criminosos e grupos de espionagem. A operação apreendeu centenas de domínios e cortou o acesso a milhões de dispositivos, mas especialistas alertam que outras redes proxy continuam ativas — e muitos aparelhos no Brasil ainda podem estar comprometidos.

2 milhões de aparelhos sequestrados

O FBI, em coordenação com o Google, a Lumen Technologies e a Shadowserver Foundation, apreendeu centenas de domínios ligados à NetNut (também rastreada como Popa), uma das maiores redes de proxy residencial do mundo. A operação atingiu ao menos 2 milhões de dispositivos comprometidos — a maioria smart TVs e TV boxes Android que foram convertidos em nós de tráfego sem o conhecimento de seus proprietários.

A Google Threat Intelligence Group (GTIG) estima que a rede é alimentada por aplicações trojanizadas e botnets como Badbox 2.0. Em uma única semana de junho de 2026, a GTIG identificou 316 clusters distintos de ameaças usando nós de saída da NetNut — entre criminosos cibernéticos e grupos de espionagem. A rede servia para mascarar ataques de password spray, acesso a infraestrutura maliciosa e até invasão de redes domésticas.

Como sua TV vira arma

Redes proxy residenciais funcionam assim: software malicioso é instalado em dispositivos domésticos — seja de fábrica em hardware de marca desconhecida ou via apps aparentemente inofensivos. Uma vez ativado, o aparelho se torna um “nó de saída”: tráfego de estranhos passa pela sua conexão de internet, e qualquer abuso cometido por esse tráfego aparece registrado sob o seu endereço IP.

O problema vai além da rede doméstica. Segundo o relatório do Google compartilhado com o BleepingComputer, quando um dispositivo vira nó de saída, tráfego não autorizado entra na rede local. Isso significa que atacantes podem acessar outros aparelhos na mesma rede — computadores, smartphones, câmeras — a partir da TV ou do TV box infectado.

A empresa por trás da NetNut é a Alarum Technologies, listada na Nasdaq sob o ticker ALAR. A Synthient, uma das empresas que rastreou a origem do botnet, demonstrou que tráfego enviado para o gateway comercial da NetNut saía por um dispositivo inscrito na rede Popa — provando que a operação comercial e o botnet são a mesma coisa.

Apps que pagam por sua internet

Uma das formas mais comuns de recrutamento são apps que oferecem dinheiro em troca de “banda não utilizada” ou “compartilhamento de internet”. A Synthient testou mais de 20 aplicações e nenhuma mostrou uma tela de consentimento clara ao usuário. A Spur, outra empresa de rastreio de proxies, encontrou que 42% dos apps disponíveis para TVs LG (webOS) incluem SDKs que transformam a televisão em proxy residencial permanente. Nas TVs Samsung com Tizen, mais de 25% dos apps têm componentes similares.

No Brasil, onde TV boxes genéricos — vendidos por menos de R$ 200 em marketplaces — são populares para acesso a streaming e IPTV, o risco é alto. A maioria desses aparelhos roda Android sem certificação Google Play Protect, o que elimina a principal defesa automática contra malware. Esse fenômeno não é novo: reportamos recentemente que TVs inteligentes estavam sendo convertidas em proxy de web scraping para alimentar sistemas de IA.

Empresa pública, não grupo clandestino

A diferença da NetNut para a maioria dos botnets está na estrutura corporativa. Em junho de 2026, pesquisadores da Qurium, Synthient, Nokia Deepfield e Spur publicaram evidências conectando o Popa à Alarum Technologies. A empresa rejeitou a classificação de “botnet” e afirmou que seus serviços operam com consentimento. A Synthient rebateu: nenhum dos apps testados apresentou consentimento explícito.

Dado NetNut/Popa
Dispositivos comprometidos 2+ milhões
Tipos de aparelhos Smart TVs, TV boxes Android
Threat clusters ativos (uma semana) 316
Apps com proxy SDK (LG webOS) 42%
Apps com proxy SDK (Samsung Tizen) 25%
Empresa responsável Alarum Technologies (Nasdaq: ALAR)

O advogado da Alarum, Omer Weiss, declarou que a empresa vai cooperar com as investigações. O FBI apreendeu o domínio principal netnut.com e centenas de outros relacionados, substituindo a página por um banner de apreensão.

DDoS e o efeito cascata

Benjamin Brundage, fundador da Synthient, ressaltou que a derrubada da NetNut também deve enfraquecer grandes botnets DDoS construídos sobre redes residenciais. Em janeiro de 2026, a Synthient revelou que criminosos haviam construído o Kimwolf — até então o maior botnet DDoS do mundo — canalizando tráfego por conexões proxy da IPIDEA para infectar outros dispositivos Android atrás do firewall da vítima. A infecção de dispositivos domésticos por botnets é um padrão recorrente que também já atingiu roteadores D-Link abandonados no Brasil e no mundo.

Este é o segundo grande golpe em redes proxy em 2026. Em janeiro, o Google já havia desmantelado a IPIDEA, a maior concorrente da NetNut, também com sede na China. Após essa ação, a NetNut absorveu parte significativa do mercado.

O que fazer agora

Se você tem um TV box genérico em casa — MXQ, TX3, X96, ou qualquer marca sem nome reconhecível — os passos são diretos:

  • Verifique se o aparelho exibe o selo Google Play Protect ou certificação de Android TV oficial. Se não tiver, considere substituí-lo.
  • Revise os apps instalados e desinstale qualquer um que prometa pagamento por compartilhamento de banda ou internet.
  • Em TVs Samsung e LG, audite os apps de terceiros instalados e remova os que não reconhece.
  • Mantenha o Google Play Protect ativado em todos os dispositivos Android — ele desabilita apps conhecidos como proxy malicioso.
  • Monitore o consumo de banda da rede: tráfego inexplicavelmente alto pode indicar que um aparelho está sendo usado como proxy.

A Google alerta que a derrubada de uma rede não elimina o problema. Quando um operador perde sua infraestrutura, ele passa a comprar capacidade de competidores — virando revendedor. A demanda por endereços residenciais não desaparece, só muda de provedor.

Referências