Sicherheitsforscher haben ein Botnetz enttarnt, welches Millionen Smart TVs gekapert hat. Die Millionen Android Smart TV-Geräte, die Teil des Popa-Botnets sind, leiteten Webverkehr (Web-Scaping) an dessen Betreiber weiter. Aufgefallen ist dies durch einen massiven Scraping-Vorfall bei Arab Reporters for Investigative Journalism (ARIJ).
Ich bin über diverse Tweets auf den Sachverhalt gestoßen, der von den Qurium- Sicherheitsforschern im Beitrag Finding "Popa": When Your Smart TV Stops Being Yours offen gelegt wurde.
Das Konzept des Popa-Botnetzes
Popa ist darauf ausgelegt, Geräte zu einem privaten Proxy-Netzwerk zusammenzuschalten (entweder mit oder ohne informierte Zustimmung des Gerätebesitzers). Geräte, die Teil des Popa-Botnetzes sind, dienen als Relais- oder Ausgangsknoten, um Dritten zu ermöglichen, ihren Datenverkehr über eine scheinbar normale private Internetverbindung zu leiten.
Popa wurde als Plugin-Komponente im Zusammenhang mit dem Vo1d-Botnetz entdeckt. Dabei handelt es sich um eine groß angelegte Malware-Kampagne, die auf Android-basierte TV-Boxen und ähnliche Geräte abzielt, schreiben die Entdecker. Popa fungiert als Netzwerkebene, die die Tunneling-Funktionen bereitstellt.
Bei Vo1d infiziert und verwaltet das Hauptbotnetz die Geräte, während das Popa-Modul später hinzugefügt werden kann. Dann stellt es die Kommunikation mit der Command-and-Control-Infrastruktur her, und registriert das Gerät. Dabei wird das Gerät in einen Knoten umgewandelt, der Datenverkehr für den Betreiber des privaten Proxys weiterleiten kann. Popa kann auch in kompromittierte Anwendungen integriert werden, darunter VPNs, Streaming-Dienste, Spiele oder Torrent-Clients. Das können auch raubkopierte und infizierte Apps oder Open Source-Apps sein.
Entdeckung des Popa-Botnetzes
Im Mai 2026 wurde die Website von "Arab Reporters for Investigative Journalism" (ARIJ) Ziel eines groß angelegten Scraping-Angriffs. Dabei wurde der Traffic von etwa 1,35 Millionen eindeutigen IP-Adressen erzeugt, die sich auf mehr als 7.300 autonome Systeme und 223 Ländercodes verteilten.
Die Untersuchung von Qurium mit dem Titel "Opaque Scrapers Hiding in the Crowd" (mit weiteren Artikeln hier zu finden) deckte auf, dass das beobachtete Verhalten des massiven Scraper-Angriffs mit dem ISP-integrierten Proxy-Modell des israelischen Unternehmens NetNut übereinstimmte. NetNut behauptet, Inhalte in großem Umfang ohne den Einsatz von Proxys zu scrapen.
Knapp einen Monat nach der Veröffentlichung von „Opaque Scrapers" veröffentlicht Qurium in Zusammenarbeit mit unabhängigen Forschern im Bereich Threat Intelligence – darunter das Nokia Deepfield Emergency Response Team und Synthient – neue Erkenntnisse. Die Popa-Infrastruktur wurde beim Scraping-Vorfall missbraucht. Popa gehört zu einer Familie von Residential-Proxy-Software, die Verbrauchergeräte wie Smart TVs in Internet-Relay-Knoten verwandelt.
Das Thema Web Scraping über Smart TV hatte ich vor einigen Tagen schon mal im Blog (siehe Link am Artikelende) – allerdings nicht im Zusammenhang mit einem Botnet. Die Israelische Firma Bright Data hat mich bereits zwei Mal aufgefordert, den Blog-Beitrag "wegen irreführender Behauptungen" zu löschen und besteht darauf, dass das alles im Konsens mit den Benutzern passiert.
Die Sicherheitsforscher verdächtigen anhand vieler Indizien, die im Artikel beschrieben werden, die Firmen NetNut und Alarum Technologies das Popa-Botnet zu betreiben. Verbindungen, die mit Popa zusammen hängen, führen zu Moshe (Moishi) Yehuda Kramer. Dieser gründete NinjaTech SIA in Riga (aufgelöst 2022), und ist Mitgründer von NetNut und auch bei Alarum Technologies aktiv. Details lassen sich im Beitrag Finding "Popa": When Your Smart TV Stops Being Yours nachlesen. Ein deutschsprachiger Beitrag findet sich hier.
Ähnliche Artikel:
Wie Smart TV-Geräte und Streaming-Anbieter die Zuschauer tracken
Israelische Firma Bright Data nutzt Apps in Smart-TV für KI-Web-Scraping
MVP: 2013 – 2016
