Popa僵尸网络深度调查:百万安卓电视盒子沦为代理节点,以色列上市公司NetNut涉嫌关联
安全公司Qurium和HUMAN Security的最新研究揭示,一个运营四年的Android僵尸网络"Popa"已将数百万台消费级电视盒子变成住宅代理节点,用于广告欺诈、账号接管和大规模数据抓取。更令人震惊的是,多个独立安全团队确认该僵尸网络与以色列上市公司Alarum Technologies(NASDAQ: ALAR)旗下的住宅代理服务商NetNut存在直接关联。
Popa僵尸网络:四年隐秘运营的技术剖析
Popa僵尸网络最早可追溯至2022年,但直到2025年中国安全公司XLAB发布报告后才引起广泛关注。与传统的DDoS僵尸网络不同,Popa的设计目标极为特殊——它不进行破坏性攻击,而是构建一个持久化的通信层,能够注册设备、维持长连接加密隧道,并按需开启通信通道。
2026年5月,安全公司Qurium在调查一系列针对其托管组织的数据抓取攻击时,偶然发现了与Popa相关的域名。这些域名与XLAB在2025年报告中标识的九个控制域名高度重合。
Popa的技术架构包括以下核心组件:
# Popa僵尸网络架构(基于Qurium逆向分析)
# 1. 感染向量:预装恶意固件的Android TV盒子
# - 数千个品牌和型号
# - 电商平台广泛销售
# - 宣称可"一次性付费"观看数百个付费视频服务
# 2. 通信协议
# - 持久化加密连接(TLS 1.3)
# - 心跳机制维持设备在线
# - 按需隧道开启
# 3. 代理功能
# - 将设备IP作为住宅代理出售
# - 支持HTTP/SOCKS5协议
# - IP地址对目标网站呈现为真实家庭用户
# 4. 关联恶意软件:Vo1d
# - Popa是Vo1d僵尸网络的插件组件
# - Vo1d负责初始感染和固件持久化
# - Popa负责代理通信层
住宅代理的灰色市场:谁在购买这些IP?
住宅代理(Residential Proxy)服务的核心价值在于其IP地址来自真实的家庭网络,而非数据中心。这使得使用住宅代理的请求在目标网站看来与普通用户无异,从而绕过反爬虫、反欺诈和地理限制系统。
Popa僵尸网络将被感染的电视盒子IP地址作为住宅代理出售,买家包括:
| 买家类型 | 使用场景 | 影响 |
|---|---|---|
| 广告欺诈团伙 | 模拟真实用户点击 | 每年数百亿美元广告费被浪费 |
| 账号接管攻击者 | 绕过IP风控 | 社交媒体/金融账号被盗 |
| 数据抓取公司 | 绕过反爬虫 | 竞争情报被窃取 |
| 地理限制绕过 | 访问受限内容 | 版权保护失效 |
Qurium的报告明确指出,其调查的数据抓取活动所使用的IP地址与NetNut的住宅代理池高度重叠。NetNut是Alarum Technologies Ltd的子公司,后者在纳斯达克上市(股票代码ALAR)。
上市公司与僵尸网络:Alarum Technologies的角色
Alarum Technologies(前称NetNut Ltd)是一家以色列网络安全和数据智能公司,2018年通过反向并购在纳斯达克上市。公司的主要产品线包括:
- NetNut:住宅代理和数据抓取服务
- Suite Analytics:网络威胁情报平台
安全研究人员的发现引发了严重的法律和道德问题:一家公开上市的公司,其核心业务是否建立在未经用户同意的设备代理之上?
Qurium的报告详细描述了数据抓取攻击的技术特征:
- 攻击流量来自全球各地的住宅IP地址
- IP地址的地理位置分布与已知的廉价Android TV盒子销售市场高度吻合
- 流量模式显示设备处于"always-on"状态(电视盒子通常24小时通电)
- 部分IP地址与XLAB报告中的Popa控制域名存在通信记录
# 住宅代理检测指标
# 企业可以通过以下特征识别来自Popa的代理流量
indicators = {
'device_fingerprint': 'Android TV / Set-top box',
'connection_pattern': 'Always-on, 24/7 connectivity',
'geo_distribution': 'Matches cheap TV box sales markets',
'tls_fingerprint': 'Identical across devices (shared firmware)',
'behavior': 'No organic browsing patterns, pure API requests',
'ip_reputation': 'Listed in residential proxy databases',
}
# 防御建议:如何检测和阻断住宅代理流量
def detect_residential_proxy(request):
"""基于多维度信号检测住宅代理使用"""
signals = []
# 1. IP信誉检查
if request.ip in residential_proxy_db:
signals.append('known_proxy')
# 2. 设备指纹异常
if request.user_agent.is_android_tv and request.is_api_call:
signals.append('device_mismatch')
# 3. 行为分析
if not has_browsing_history(request.ip):
signals.append('no_organic_behavior')
# 4. 地理位置与ISP不匹配
if request.geo_location.is_residential and request.is_bulk_request:
signals.append('suspicious_volume')
return len(signals) >= 2
FBI警告:廉价流媒体盒子的安全风险
FBI和多个安全机构已多次警告消费者关于廉价Android TV盒子的安全风险。这些设备通常以极低的价格(20-50美元)在电商平台上销售,宣称可以"免费"观看Netflix、Disney+等付费内容。
但这些设备的"免费"代价是:
- 预装恶意软件:设备固件中嵌入了Vo1d/Popa等恶意软件
- 用户网络被代理:家庭IP地址被出售给第三方,可能被用于非法活动
- 本地网络风险:部分代理网络允许恶意客户与设备本地网络中的其他系统通信
- 隐私泄露:设备可能收集并上传用户的观看习惯、网络活动等数据
| 风险维度 | 影响 | 严重程度 |
|---|---|---|
| 网络被代理 | 家庭IP被用于非法活动 | 高 |
| 恶意软件 | 固件级持久化,难以清除 | 高 |
| 本地网络入侵 | 其他设备可能被攻击 | 中 |
| 隐私泄露 | 观看习惯、网络活动被收集 | 中 |
| 法律风险 | IP被用于犯罪活动可能被调查 | 高 |
企业防御:阻断住宅代理流量的实战策略
对于企业安全团队来说,Popa僵尸网络的存在意味着需要重新评估基于IP信誉的风控策略:
1. 增强IP情报源
- 订阅多个住宅代理IP数据库(IPQualityScore、IP2Proxy等)
- 定期更新已知代理IP黑名单
- 对来自Android TV设备特征的IP实施额外验证
2. 行为分析升级
- 不再单纯依赖IP地理位置判断用户真实性
- 部署设备指纹+行为分析的多维度风控
- 对无浏览历史的纯API请求实施挑战验证
3. API安全加固
- 实施严格的速率限制
- 对敏感API端点要求额外认证
- 部署Bot Management解决方案(如Cloudflare Bot Management、Akamai Bot Manager)
数据来源与参考文献
- Krebs on Security. "Popa Botnet Linked to Publicly-Traded Israeli Firm." krebsonsecurity.com, June 2026.
- Qurium Media Foundation. "Data Scraping and the Popa Botnet." Qurium Report, May 2026.
- HUMAN Security. "Malicious Streaming Devices Analysis." 2026.
- XLAB. "Vo1d Botnet: Android TV Box Infection Campaign." 2025.
- U.S. FBI. "Consumer Alert: Cheap Streaming Devices May Contain Malware." 2025.
- Alarum Technologies Ltd. SEC Filings and Investor Relations. NASDAQ: ALAR.
更新时间: 2026-06-23
评论