Купил ТВ-приставку за копейки — получил бонус: теперь через твой IP кто-то обходит блокировки, собирает данные и взламывает чужие аккаунты

Дешёвая приставка к телевизору может годами работать не только для владельца, но и для чужих клиентов, которые незаметно гонят через домашний интернет рекламу, собирают данные и подозрительно входят в аккаунты. Несколько компаний в сфере кибербезопасности заявили, что крупная сеть Popa, построенная на устройствах с Android, связана с NetNut, поставщиком «домашних прокси» из Израиля, который принадлежит Alarum Technologies.

Popa действует уже около четырёх лет и отличается от привычных ботнетов. Сеть не столько ломает сайты массовыми атаками, сколько превращает заражённые устройства в постоянные узлы, чтобы передавать чужой интернет-трафик. Приставка регистрируется в системе, держит зашифрованное соединение и по запросу открывает канал связи через домашний адрес владельца.

Специалисты связывают Popa с ботнетом Vo1d, который нацелен на неофициальные телевизионные приставки на Android. Такие устройства продаются под множеством названий и часто обещают доступ к сотням платных видеосервисов за один разовый платёж. ФБР и компании по кибербезопасности уже предупреждали, что вместе с подобными приставками пользователи нередко получают программы, превращающие телевизор в «домашний прокси». Через такой узел посторонние могут выходить в сеть под видом обычного абонента.

Первые следы Popa ранее описала китайская компания XLAB. В новом отчёте Qurium заявила, что нашла десятки доменов управления Popa, пока расследовала мощный сбор данных против клиентов своего хостинга в мае 2026 года. Активность распределялась более чем по 1,4 млн интернет-адресов. Среди доменов фигурировали gmslb[.]net, safernetwork[.]io, tera-home[.]com и ninjatech[.]io. Один из них встречался в изменённых приложениях для просмотра пиратского видео, включая CRICFy, DooFlix, RTS Tv, CyberFlix и другие.

Qurium утверждает, что часть доменов управления Popa исчезла летом 2025 года после совместной операции Google, HUMAN Security и Trend Micro против Badbox 2.0, близкого к Vo1d. После этого появились новые домены, однако ninjatech[.]io, по данным компании, сохранил связь с прежней инфраструктурой. Домен связывают с Ninjatech, компанией Мойши Крамера, который в профиле LinkedIn* указан как вице-президент по исследованиям и разработке NetNut.

Крамер в ответе по электронной почте заявил, что Ninjatech прекратила работу около пяти лет назад, а разработанный компанией набор средств Popa был продан и лицензирован сторонним организациям. По его словам, программа должна была задействовать лишь небольшую часть пропускной способности устройства и запускаться только после того, как пользователь даст согласие. Крамер также заявил, что ни он, ни NetNut не управляют инфраструктурой Popa и не контролируют домен Ninjatech.

Компания Synthient в отдельном отчёте пришла к другому выводу. По её данным, недавний анализ Popa показал исходящий трафик, связанный с NetNut. Специалисты Synthient считают, что устройства с Popa передают трафик клиентов NetNut, а значит, продолжают входить в пул прокси-сервиса.

Alarum Technologies отвергла выводы Synthient и Qurium, назвав их неточными и основанными на ошибочных предположениях. Компания заявила, что рассматриваемые программные компоненты предназначены, чтобы совместно использовать пропускную способность, и не превращают устройства пользователей в вредоносную сеть. Alarum также утверждает, что NetNut проверяет клиентов, следит за злоупотреблениями и применяет меры для ответственного использования сервиса.

Позицию оспаривает сервис Spur, который отслеживает прокси-сети. В отчёте от 8 июня компания заявила, что NetNut не требует полноценной проверки компаний перед покупкой доступа. По данным Spur, пользователь может зарегистрироваться, заплатить и начать маршрутизировать трафик через партнёрские адреса, а некоторые посредники продают доступ ещё проще – вплоть до оплаты криптовалютой с одноразовой почты.

Масштаб Popa делает историю особенно тревожной. По оценке Black Lotus Labs, сеть ежедневно задействует от 1,5 млн до 2,5 млн уникальных интернет-адресов, а её работой управляют примерно 250–300 адресов. Nokia Deepfield оценивает возможный масштаб ещё выше. Компания отслеживала 26 из как минимум 359 известных узлов передачи и за сутки увидела около 750 000 уникальных источников только на этой части сети.

Спрос на такие прокси растёт не только из-за мошенничества. Крупные поставщики всё чаще продвигают свои сети как инфраструктуру, позволяющую обучать искусственный интеллект. Сервисы, которые массово собирают тексты, изображения и видео с сайтов, стараются обходить ограничения, используя домашние адреса обычных пользователей вместо адресов облачных центров обработки данных. Для сайта такой запрос выглядит так, будто пришёл от реального абонента, а не от системы автоматического сбора.

Жертвами агрессивного сбора данных становятся библиотеки, университеты, некоммерческие организации и небольшие сайты. Им приходится бороться с потоками запросов, которые замедляют работу сервисов или выводят их из строя для обычных посетителей. По опросу Конфедерации репозиториев открытого доступа (COAR), более 90% участников сталкивались с агрессивными ботами, часто чаще одного раза в неделю.

Проблема не ограничивается безымянными приставками. Spur проверила магазины приложений для телевизоров LG и Samsung и нашла прокси-компоненты более чем в 42% приложений для webOS и более чем в четверти приложений для Tizen. Часто такие программы выглядят как простые игры или утилиты, а согласие на использование домашнего соединения прячется в длинных условиях, которые неудобно читать с пульта.

Infoblox предупреждает, что похожие компоненты встречаются и в обычных мобильных приложениях, включая бесплатные службы защищённого подключения, приложения для просмотра видео, заставки и программы для работы с PDF. В корпоративных сетях такие прокси создают отдельный риск. Если злоумышленник атакует третью сторону через адрес компании, расследование сначала укажет именно на сеть этой организации, даже если она была лишь промежуточным узлом.

* Социальная сеть запрещена на территории Российской Федерации.