Una de las mayores redes de Android infectados acaba de caer
Una operación internacional liderada por Google, el FBI y varias organizaciones especializadas en ciberseguridad ha desarticulado gran parte de la infraestructura de NetNut, una plataforma utilizada para ocultar ciberataques mediante millones de dispositivos Android comprometidos.
📌 En resumen
- NetNut controlaba cerca de dos millones de dispositivos Android infectados.
- La red se utilizaba para ocultar ciberataques mediante proxies residenciales.
- Google, el FBI y varios socios internacionales participaron en la operación.
- Google Play Protect incorpora nuevas medidas para detectar este tipo de amenazas.
Una operación internacional contra el cibercrimen ha asestado uno de los golpes más importantes de los últimos años a las redes de proxies residenciales. NetNut, también conocida como Popa, utilizaba cerca de dos millones de dispositivos Android comprometidos para ofrecer conexiones aparentemente legítimas a ciberdelincuentes de todo el mundo.
NetNut era una botnet formada por millones de dispositivos Android infectados que actuaban como proxies residenciales. Gracias a esta infraestructura, los atacantes podían ocultar el origen real de sus conexiones y hacer que actividades como ataques informáticos, robo de información o campañas de phishing parecieran proceder de hogares de usuarios legítimos.
La operación ha permitido intervenir parte de la infraestructura utilizada para controlar la red y dificultar significativamente su funcionamiento.
Cerca de dos millones de dispositivos comprometidos
Según los investigadores, la botnet controlaba aproximadamente dos millones de dispositivos Android repartidos por numerosos países.
Entre los equipos afectados se encontraban:
- Televisores inteligentes.
- Decodificadores de streaming.
- Reproductores multimedia.
- Otros dispositivos Android conectados a Internet.
Una vez infectados, estos equipos continuaban funcionando con aparente normalidad mientras redirigían el tráfico de terceros sin que sus propietarios fueran conscientes de ello.
Para qué utilizaban la red criminal
Las investigaciones apuntan a que NetNut era utilizada por cientos de grupos criminales para ocultar el origen de sus actividades.
Entre los usos detectados destacan:
- Robo de información.
- Ataques automatizados contra servicios online.
- Intentos masivos de acceso con credenciales filtradas.
- Campañas de espionaje.
- Ocultación del origen de operaciones maliciosas.
El uso de direcciones IP residenciales dificultaba enormemente la identificación de los responsables y permitía esquivar numerosos sistemas de detección.
Cómo llegaban a infectarse los dispositivos
La investigación identifica varios métodos utilizados para incorporar nuevos equipos a la botnet.
En algunos casos, el software malicioso ya venía preinstalado en determinados dispositivos antes de llegar al consumidor. En otros, la infección se producía tras instalar aplicaciones aparentemente legítimas que escondían código malicioso.
Una vez comprometido, el dispositivo seguía funcionando con normalidad mientras colaboraba silenciosamente con la infraestructura criminal.
Además del impacto sobre la privacidad, esta situación podía provocar que la dirección IP del usuario quedara asociada a actividades ilícitas y fuese bloqueada temporalmente por algunos servicios en Internet.
Una operación internacional coordinada
La desarticulación de NetNut ha sido posible gracias a la colaboración entre:
- Google.
- FBI.
- Lumen Technologies.
- The Shadowserver Foundation.
- Otros socios especializados en ciberseguridad.
Durante la operación se incautaron varios dominios utilizados por la organización y se desactivaron distintos servidores de mando y control encargados de gestionar la botnet.
Al inutilizar esta infraestructura, los investigadores limitaron la capacidad de coordinación de millones de dispositivos comprometidos.
Más de 300 grupos criminales utilizaban NetNut
Durante una única semana de análisis, los investigadores identificaron 316 grupos de amenazas utilizando nodos pertenecientes a NetNut.
La plataforma resultaba especialmente atractiva porque ofrecía un enorme volumen de direcciones IP residenciales distribuidas por numerosos países.
Además, disponía de un programa de reventa que permitía a otros operadores comercializar el servicio bajo diferentes marcas, ampliando todavía más su presencia dentro del mercado clandestino.
Google refuerza Play Protect
Como parte de la operación, Google ha incorporado nuevas medidas de protección para Android.
La compañía ha ampliado las capacidades de Google Play Protect para detectar aplicaciones maliciosas capaces de incorporar dispositivos a este tipo de botnets.
Además, ha compartido indicadores técnicos sobre la infraestructura de NetNut, incluyendo información relacionada con sus servidores de mando y control y con los mecanismos utilizados para distribuir el malware.
Estos datos permitirán que otras empresas de ciberseguridad y organismos públicos refuercen sus propios sistemas de detección frente a amenazas similares.
Un duro golpe al mercado de proxies ilegales
La desarticulación de NetNut supone uno de los mayores golpes contra las redes de proxies residenciales utilizadas por el cibercrimen.
Aunque este tipo de infraestructuras pueden reconstruirse con el tiempo, la incautación de dominios, la interrupción de sus servidores y las nuevas medidas de protección incorporadas por Google dificultarán que la plataforma vuelva a operar con el alcance que había conseguido hasta ahora.