No es la primera vez en este año que Google se encarga de liderar el cierre de una red proxy residencial que usaba millones de dispositivos. A finales del mes de enero, ya se desarticuló la red que era conocida como IPIDEA. Ahora, la compañía tecnológica confirma que se ha desmantelado otra red proxy maliciosa que afectaba a 2 millones de dispositivos repartidos por todo el mundo. En esta ocasión, Google Threat Intelligence Group (GTIG) se ha coordinado con el FBI, así como con otros socios de la propia industria, con el objetivo de echar el cierre a NetNut.
Se trata de una red proxy residencial que también era conocida como Popa y era una de las redes maliciosas más grandes del mundo. La importancia de este desmantelamiento Hay que tener claro, de primeras, que la industria de los proxies está interconectada. Por tanto, los operadores compran y también revenden de manera continua la capacidad de las botnets de otros actores. Pues bien, con el desmantelamiento de NetNut, que era una de las redes de proxies más conocidas y masivas del mercado, consigue reducir en millones el número de dispositivos que tenía disponibles. ¿Qué medidas ha tomado Google? - Se desactivaron las cuentas de Google y de otros servicios asociados a esta compañía que NetNut usaba para el comando y control del malware, lo que violaba directamente los Términos de servicio y la Política de uso. - Ha compartido la información técnica sobre los kits de desarrollo de software de NetNut, así como la infraestructura de comando y control de backend con proveedores de plataformas, las autoridades pertinentes y empresas de investigación para que se aplique la ley en todo el ecosistema. - Desde Google han hecho que Google Play Protect alerte de forma automática a los usuarios y deshabilitará también las apps que usan SDK de NetNut.
Por lo que el sistema seguirá protegiendo a los usuarios contra futuros intentos de instalación. Con al menos 2 millones de dispositivos infectados Una de las claves más importantes de esta última investigación es el alcance masivo a nivel mundial de NetNut. Básicamente porque GTIG estima que tenía en su poder al menos 2 millones de dispositivos a nivel doméstico que estaban repartidos por todo el mundo. Desde Smart TV hasta diferentes dispositivos de streaming.
Estos equipos se han ido infectando a través de diferentes apps troyanizadas y botnets como BadBox 2.0, que se encargaban de empaquetar plugins (complementos) de proxy ocultos. Por ejemplo, en apenas una sola semana del pasado mes de junio, Google Threat Intelligence Group comprobó que 316 grupos de amenazas diferentes (desde grupos de ciberdelincuencia hasta otros actores de ciberespionaje) usaron NetNut para ocultar las IP de origen, lanzar ataques de fuerza bruta (password-spray) o acceder a los entornos de las víctimas a las que habían infectado previamente sus dispositivos domésticos. El gran peligro de esta red proxy maliciosa es que convertía el hardware a nivel doméstico de cualquier usuario en nodos de salida (exit nodes). Esto ha hecho que estén expuestas redes privadas a diferentes amenazas de Internet más amplias, lo que provoca a su vez que los operadores bloqueen o marquen por error el tráfico legítimo de estos hogares afectados.
Por lo que siempre hay que prestar mucha atención a las apps que ofrecen pagos a cambio, por ejemplo, de «ancho de banda que no se use» o por el simple hecho de «compartir Internet». Estas apps, por lo general, son una de las principales vías para la expansión de las redes proxy maliciosas. Y lo peor de todo es que pueden provocar vulnerabilidades de seguridad en las redes domésticas.