Popa и NetNut: Android-устройства в коммерческой прокси-сети

В новом отчете представлен подробный анализ Popa — SDK proxy-программного обеспечения для Android, которое позволяет подключать потребительские устройства, включая смартфоны, планшеты и streaming boxes, к коммерческой сети домашних proxy. Исследование показывает, что Popa функционирует в связке с NetNut и использует сторонние приложения для построения сети, работающей как минимум с мая 2020 года.

Ключевой вывод отчета заключается в том, что различные приложения, содержащие вариант Moneytiser, напрямую взаимодействуют с конечными точками SDK NetNut. По мнению исследователей, это указывает на взаимосвязанную операционную framework, в которой Popa и NetNut фактически работают как единая инфраструктура.

Как устроена схема

Согласно материалам расследования, Popa внедряется в consumer apps и перенаправляет traffic third parties без согласия пользователя. Иными словами, устройство владельца может стать частью proxy-инфраструктуры без его осведомленности.

Связь между Popa и NetNut подтверждается как историческими данными, так и telemetry. В частности, установлено, что traffic от пользователей Popa маршрутизируется через commercial gateways NetNut, что указывает на прямую эксплуатационную зависимость между двумя системами.

Эволюция SDK и скрытность операций

Отчет отмечает, что SDK со временем развивался. В более поздней версии v2.7.46 была добавлена optional consent-request function, однако исследование показало, что ни одно из проанализированных приложений не вызывало эту возможность.

Это означает, что, несмотря на формальное наличие механизма согласия, на практике Popa продолжал широко использоваться без информирования пользователей. Дополнительный уровень obscurity создается за счет внедрения AES encryption для server communications.

Контролируемый тест подтвердил выводы

В ходе controlled test, проведенного 17 June 2026, было подтверждено, что устройства, работающие с Popa SDK, могут функционировать как egress nodes для proxy-инфраструктуры NetNut.

Наблюдения включали egress traffic, соответствующий определенным request paths, что стало дополнительным подтверждением прямой связи между Popa SDK и системами NetNut.

Почему это важно

Выводы исследования подчеркивают тревожную тенденцию: consumer devices могут неосознанно использоваться как часть proxy network. Это создает потенциальные риски, связанные с несанкционированным использованием residential IP addresses, а также с тем, что пользовательское устройство фактически становится техническим узлом чужой инфраструктуры.

  • Popa SDK интегрируется в consumer apps и перенаправляет traffic third parties.
  • Связь с NetNut подтверждается historical data и telemetry.
  • Трафик маршрутизируется через commercial gateways NetNut.
  • Опциональный механизм согласия в v2.7.46 на практике не использовался.
  • Шифрование AES усложняет анализ server communications.

Итог: отчет описывает устойчивую и технически выверенную схему, в рамках которой Android-устройства потребителей становятся частью коммерческой proxy-инфраструктуры NetNut, зачастую без ведома владельцев.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: