
Google a récemment démantelé NetNut, un des plus grands réseaux de proxy résidentiels malveillants, qui avait réussi à compromettre plus de deux millions d’appareils Android. Cette opération, coordonnée avec le FBI, marque une nouvelle étape dans la lutte de Google contre les infrastructures criminelles.
NetNut a été identifié par les chercheurs de Google comme un réseau contrôlant une multitude d’appareils grand public, tels que des téléviseurs connectés et des boîtiers de streaming. Les appareils compromis étaient utilisés pour masquer des activités criminelles en ligne, permettant aux pirates de louer les adresses IP de ces appareils à d’autres cybercriminels, qui les utilisaient pour faire transiter leur trafic malveillant sans que les propriétaires ne s’en aperçoivent.
À lire aussi : 25 millions d’identifiants piratés, 140 000 PC infectés – comment une opération de police a neutralisé deux redoutables virus
Des applications infectées par des virus
Les cybercriminels ont souvent pris le contrôle des appareils via des applications modifiées contenant du code malveillant. Le malware Badbox 2.0 a été utilisé pour installer des modules proxy à l’insu des utilisateurs. Selon le FBI, ce malware d’origine chinoise affecte des « millions d’appareils » à travers le monde.
Deux millions d’appareils compromis
Une enquête menée par le journaliste Brian Krebs a établi un lien entre un botnet nommé Popa et NetNut, qui est une filiale de la société israélienne Alarum Technologies. Popa fait partie de Vo1d, un botnet conçu pour se propager à travers des boîtiers TV Android non officiels. Les chercheurs de Black Lotus Labs de Lumen rapportent que ce botnet utilise quotidiennement entre 1,5 et 2,5 millions d’adresses IP distinctes. Au moins deux millions de téléviseurs connectés et appareils Android ont été infectés par le service de proxy NetNut.
De nombreux groupes criminels ont exploité NetNut pour mener des cyberattaques. Le Google Threat Intelligence Group (GTIG) a identifié 316 groupes criminels utilisant NetNut en une semaine, impliqués dans des fraudes en ligne et des vols de mots de passe. NetNut a également proposé un système de revente en « marque blanche », où plusieurs services de proxy utilisaient la même infrastructure sans en informer les clients.
La riposte de Google
Pour mettre fin aux activités de NetNut, Google a désactivé les comptes Google et les services associés utilisés par ce réseau. En collaboration avec le FBI et d’autres entreprises de sécurité, Google a formé une coalition pour démanteler cette infrastructure lors d’une opération en juin 2026. En outre, Google a mis à jour Play Protect, son système de sécurité Android, pour désactiver automatiquement les applications impliquées avec NetNut, entraînant une « dégradation significative » du réseau de proxy et réduisant le nombre d’appareils disponibles pour les opérateurs.
Une enquête toujours en cours
Suite aux révélations de Google, Alarum Technologies a contesté les accusations, affirmant que ses outils reposaient sur un partage de bande passante consenti par les utilisateurs. L’entreprise as avoir des politiques de vérification d’identité et de surveillance des abus, des affirmations qui sont contestées par d’autres sociétés. Alarum continue d’enquêter pour déterminer si son réseau a été utilisé à des fins malveillantes.
Cette opération de Google s’inscrit dans un contexte plus large de lutte contre les réseaux criminels, après le démantèlement d’Ipidea, qui avait compromis 9 millions d’appareils Android.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :Google
