Ваш телевизор ведет двойную жизнь. Пока смотрите сериалы, он помогает грабить банки

Миллионы домашних устройств по всему миру незаметно для владельцев помогают киберпреступникам скрывать атаки, обходить защиту компаний и взламывать чужие аккаунты. Специалисты BitSight выяснили, что значительная часть рынка так называемых резидентных прокси напрямую связана с вредоносными программами и ботнетами.

Резидентные прокси позволяют направлять трафик через обычные домашние компьютеры, смартфоны, телевизоры и маршрутизаторы. Для сайтов и систем защиты такой трафик выглядит как действия реальных пользователей из разных стран. Благодаря подобным сервисам злоумышленники обходят ограничения по географии, скрывают настоящие адреса и избегают блокировок.

Авторы исследования наблюдали за инфраструктурой прокси-сервисов в течение 55 дней, с января по март 2026 года. За это время удалось обнаружить более 53 миллионов уникальных узлов, через которые проходил трафик. В отдельные дни крупнейшие площадки предоставляли свыше двух миллионов активных адресов одновременно.

Проверка показала тревожную картину. Около 15% всех обнаруженных адресов одновременно использовались заражёнными устройствами, на которых работали вредоносные программы. Ещё почти 13% систем содержали потенциально опасное программное обеспечение. Среди обнаруженных семейств вредоносных программ оказались Vo1d, Badbox, RootSTV/Pandoraspear, Gamarue и другие.

Специалисты считают, что реальные масштабы заражения могут быть значительно выше. Наблюдение велось только за устройствами, которые в момент исследования связывались с контролируемыми серверами. Спящие заражённые системы и устройства с заблокированным трафиком в статистику не попали. Для отдельных сетей доля заражённых узлов, по оценке авторов, может достигать 50%.

Особое внимание специалисты уделили экосистеме IPIDEA. Сеть объединяла несколько известных брендов прокси-сервисов, включая 922Proxy, LunaProxy и IP2World. Инфраструктура активно использовала устройства, заражённые вредоносными программами Vo1d, Badbox и RootSTV/Pandoraspear. В конце января 2026 года Google вместе с партнёрами провела масштабную операцию против IPIDEA, однако рынок быстро восстановился. Уже через несколько недель активность сети вернулась почти к прежним показателям.

Авторы исследования отмечают, что традиционные методы защиты постепенно теряют эффективность. Раньше компании могли блокировать подозрительные адреса по репутации, но при постоянной смене миллионов домашних IP-адресов подобный подход перестаёт работать. Злоумышленники используют один адрес всего несколько минут или даже для одной попытки входа, после чего переключаются на другой узел.

Проблема затрагивает не только жертв атак. Если заражённый компьютер сотрудника начинает работать как прокси-узел, компания фактически превращается в источник вредоносного трафика. Под угрозой оказываются корпоративные сети, удалённые подключения и репутация организации.

Авторы советуют компаниям уделять больше внимания анализу поведения трафика, а не только проверке IP-адресов. По их мнению, защитные системы должны отслеживать характер подозрительных действий, быстрое переключение адресов и нетипичную активность, связанную с попытками входа, рассылкой спама и автоматизированными атаками.