Popa-Botnetz: Millionen TV-Boxen als heimliche Proxy-Knoten, Spur führt zu börsennotierter Firma

Vier Jahre lang hat ein riesiges Android-Botnetz namens Popa Millionen TV-Boxen in privaten Haushalten dazu gebracht, fremden Internetverkehr weiterzuleiten. Im Hintergrund laufen Werbebetrug, Konto-Übernahmen und massenhaftes Daten-Scraping. Diese Woche kommen gleich mehrere Sicherheitsfirmen zu einem brisanten Schluss: Popa hängt an NetNut, einem Anbieter sogenannter Residential Proxys. Betrieben wird NetNut von der börsennotierten israelischen Firma Alarum Technologies Ltd. (NASDAQ: ALAR).

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Popa ist gewaltig, funktioniert aber anders als klassische Botnetze. Statt gekaperte Geräte für zerstörerische Angriffe wie groß angelegte DDoS-Attacken einzuspannen, verfolgt Popa offenbar nur ein Ziel: eine dauerhafte Kommunikationsschicht aufzubauen. Diese Schicht registriert jedes Gerät, hält langlebige verschlüsselte Verbindungen offen und öffnet bei Bedarf Tunnel für fremden Datenverkehr.

Was ist das Popa-Botnetz?

Popa ist ein Schadsoftware-Baustein für billige, nicht zertifizierte Android-TV-Boxen und verwandelt den Fernseher heimlich in einen Residential Proxy, über den Fremde ihren Datenverkehr leiten. Sicherheitsforscher ordnen Popa dem Vo1d-Botnetz zu.

Experten beschreiben Popa als Zusatzmodul des Vo1d-Botnetzes, einer groß angelegten Kampagne gegen inoffizielle Android-TV-Boxen. Solche Geräte laufen unter Tausenden Marken- und Modellnamen, sind problemlos bei den großen Online-Händlern zu kaufen und werben alle mit demselben Versprechen: Hunderte Streaming-Dienste gegen eine einmalige Zahlung.

FBI und Sicherheitsbranche warnen seit Jahren vor genau diesen Boxen. Oft ist ab Werk Software vorinstalliert, die den Fernseher in einen Residential Proxy verwandelt. Über diesen Proxy kann jeder zahlende Kunde seinen Internetverkehr leiten, solange die Box am Stromnetz hängt und im Heimnetz steckt. Besonders heikel: Manche dieser Proxy-Netze unternehmen kaum etwas, um zu verhindern, dass kriminelle Kunden mit anderen Geräten im Heimnetz des ahnungslosen Besitzers kommunizieren oder diese sogar übernehmen.

Wie kamen die Forscher NetNut auf die Spur?

Mehrere Sicherheitsfirmen verfolgten die Steuer-Domains von Popa. Eine davon, ninjatech.io, gehört Moishi Kramer, dem Entwicklungschef von NetNut. Synthient wies zusätzlich nach, dass Geräte mit Popa Datenverkehr direkt an NetNut-Kunden weiterleiten.

Die ersten Hinweise auf Popas Herkunft lieferte 2025 ein Bericht der chinesischen Sicherheitsfirma XLAB, der mindestens neun Domains benannte, über die infizierte Geräte registriert und gesteuert wurden. Die Sicherheitsfirma Qurium stieß in einem heute veröffentlichten Bericht auf einige dieser Domains, als sie eine Serie teurer Scraping-Angriffe auf ihre gehosteten Organisationen im Mai 2026 untersuchte. Der Scraping-Verkehr verteilte sich gleichmäßig über mehr als 1,4 Millionen IP-Adressen.

Qurium fand mehrere Dutzend Steuer-Domains, die im Gleichschritt über wechselnde IP-Adressen gehostet wurden, darunter gmslb[.]net, safernetwork[.]io, tera-home[.]com und ninjatech[.]io. Die Domain gmslb[.]net tauchte in Dutzenden raubkopierten oder modifizierten Streaming-Apps auf, etwa CRICFy, DooFlix, RTS Tv, CyberFlix und HD/OceanStreams.

Die meisten alten Steuer-Domains wurden im Juli 2025 abgeschaltet, nachdem Google, HUMAN Security und Trend Micro gemeinsam Badbox 2.0 zerschlugen, ein eng mit Vo1d verbandeltes Botnetz. Unmittelbar danach registrierten die Hintermänner mehrere Dutzend neue Steuer-Domains. Eine davon war nicht neu: ninjatech[.]io.

Ninjatech ist eine Firma, gegründet von Moishi Kramer. Sein LinkedIn-Profil weist ihn als Vice President of Research and Development bei NetNut aus. Dort soll er NetNut von Grund auf mit aufgebaut, die Architektur entworfen und das System skaliert haben, bevor Alarum Technologies das Unternehmen übernahm. Ein selbst erstellter Eintrag bei der Jobbörse F6S nennt Kramer als alleinigen Inhaber der Ninjatech-Domain.

Auf eine Anfrage per E-Mail antwortete Kramer, Ninjatech habe vor rund fünf Jahren den Betrieb eingestellt. Damals habe die Firma ein Software Development Kit (SDK) namens Popa verkauft, das nur einen kleinen Teil der Bandbreite eines Geräts nutzen und erst nach Zustimmung des Nutzers laufen sollte.

Kramer betonte, weder er noch NetNut baue, betreibe oder pflege die als Popa beschriebene Infrastruktur, und auch die Ninjatech-Domain kontrolliere er nicht.

Die Proxy-Tracking-Firma Synthient kommt in einem ebenfalls heute erschienenen Bericht zu einem anderen Befund. Eine Analyse des Popa-SDK habe ausgehenden Datenverkehr gezeigt, der eindeutig zu NetNut gehöre.

Bandbreiten-Sharing oder Botnetz?

Alarum Technologies, die in Tel Aviv ansässige Muttergesellschaft von NetNut, hält die Berichte von Synthient und Qurium für „nachweislich falsche Behauptungen und fehlerhafte Schlussfolgerungen statt belegter Fakten“. Die Firma weist zurück, dass es sich bei den beschriebenen SDKs und Technologien um ein „Botnetz“ handele.

NetNut lege „erheblichen Wert“ auf Hinweis- und Zustimmungsmechanismen, prüfe seine Kunden, überwache auf Missbrauch und gehe gegen verdächtige oder unautorisierte Aktivitäten vor, so Alarum weiter. Dazu gehörten interne Verfahren, KYC-Prüfungen (Know Your Customer) und weitere Sorgfaltsprüfungen der Kunden.

Dem widerspricht die Proxy-Tracking-Firma Spur in einem Bericht vom 8. Juni deutlich. NetNut verlange vor dem Verkauf von Proxy-Zugängen keine echte Unternehmensprüfung und keine ernsthaften KYC-Verfahren.

Spur verweist zudem auf zahlreiche Reseller und White-Label-Anbieter, die denselben Proxy-Pool unter eigenem Namen weiterverkaufen, oft ganz ohne KYC. Wer wisse, wo er suchen müsse, komme über einen solchen Reseller schon mit einer Wegwerf-E-Mail-Adresse und fünf Dollar in Kryptowährung an einen Zugang.

Auch beim Thema Einwilligung bleiben Zweifel. Synthient zufolge fragen erst die jüngsten Popa-Versionen vor der Installation der Proxy-Komponenten nach Zustimmung, ältere Varianten nicht. Von über 20 echten Popa-Publishern habe kein einziger um Zustimmung gebeten.

Wie groß ist Popa wirklich?

Popa umfasst laut Lumen täglich rund 1,5 bis 2,5 Millionen verschiedene IP-Adressen, gesteuert über nur 250 bis 300 Adressen. Nokia hält die tatsächliche Zahl der beteiligten Geräte für noch höher. Damit zählt Popa zu den größeren aktiven Proxy-Botnetzen im Markt.

Chris Formosa ist Senior Lead Information Security Engineer bei Black Lotus Labs, einer Abteilung des Internet-Backbone-Betreibers Lumen Technologies. Was Popa so gefährlich mache, sei die enorme Verbreitung von NetNut beim Weiterverkauf, erklärt Formosa. Viele andere Proxy-Dienste bauten kein eigenes Netz auf, sondern verkauften schlicht NetNut-Proxys weiter.

Nach Formosas Zahlen bewegt sich Popa täglich zwischen 1,5 und 2,5 Millionen verschiedenen IP-Adressen und nutzt 250 bis 300 Adressen zur Steuerung. Im Vergleich zu IPIDEA wirkt das fast bescheiden: Der chinesische Proxy-Anbieter betrieb bis vor Kurzem einen Pool von fast 10 Millionen Geräten täglich, die an jeden weiterverkauft wurden. Seit Google und Partner im Januar 2026 dessen Steuer-Domains beschlagnahmten, sind die Zahlen gesunken.

Jérôme Meyer, Sicherheitsforscher bei Nokia Deepfield, hält die Gesamtzahl der Geräte für deutlich höher als Lumens Schätzung. Nokia beobachte 26 von mindestens 359 bekannten Relay-Knoten des Botnetzes; jeder Knoten bediene gleichzeitig zwischen 35.000 und 60.000 Clients. Allein auf den 26 beobachteten Knoten zählte Meyer in 24 Stunden 750.000 verschiedene Quellen. Nokia Deepfield veröffentlichte heute zudem einen eigenen Bericht zu RoboVPN, einer VPN-App, die Qurium über das Popa-Modul NetNut und Alarum zuordnet.

Proxys, KI-Training und das große Datenscraping

Viele der weltgrößten Proxy-Anbieter haben ihr öffentliches Auftreten umgebaut und bewerben sich nun als Infrastruktur fürs KI-Training. Denn KI-Dienste sind darauf angewiesen, das Internet permanent nach neuen Texten, Bildern und Videos abzugrasen, um große Sprachmodelle zu trainieren.

Aus einem aktuellen Bericht der Sicherheitsfirma Include Security geht hervor, warum dafür ausgerechnet Privatanschlüsse so begehrt sind. Dienste wie Cloudflare, DataDome oder HUMAN drosseln oder blockieren Anfragen aus bekannten Rechenzentren. Ein Scraping-Auftrag, der über den Anschluss eines Comcast- oder T-Mobile-Kunden läuft, erreicht die Zielseite dagegen von einer IP-Adresse, die zu einem zahlenden Privatkunden gehört.

Dieses Dauer-Scraping hat mehr als 70 Urheberrechtsklagen gegen große Tech-Konzerne ausgelöst, die massenhaftes Daten-Scraping als wichtige Quelle ihrer KI-Produkte einräumen. Pikant daran: Ein Großteil dieses Scrapings stützt sich auf Proxy-Dienste, die eng mit inoffiziellen Android-TV-Boxen und SDKs zum Streamen von Raubkopien verbandelt sind.

Oft ist das Scraping so aggressiv, dass die betroffenen Websites zusammenbrechen und für echte Besucher unerreichbar werden. Bibliotheken, Universitäten und gemeinnützige Organisationen berichten, dass sie ständig darum kämpfen, ihre Dienste gegen die Scraping-Firmen online zu halten. Eine Umfrage der Confederation of Open Access Repositories (COAR) ergab, dass über 90 Prozent der Befragten aggressive Bots erleben, meist mehrmals pro Woche, oft mit Verlangsamungen und Ausfällen.

Auch normale Smart-TVs und Apps sind betroffen

Selbst Haushalte ohne dubiose TV-Box sind nicht sicher. Schon der Download einer von Tausenden Apps auf Samsung- und LG-Fernsehern kann den Smart-TV in einen Residential-Proxy-Knoten verwandeln. Spur hat die App-Stores beider Hersteller durchsucht und je rund 3.000 Apps gefunden. Viele davon sind simple Spiele oder Helfer, die im Kleingedruckten erwähnen, dass die Internetverbindung des Nutzers zum Laden von Daten verwendet wird und man jederzeit widersprechen könne.

Laut Spur enthalten über 42 Prozent der Apps für das LG-Betriebssystem webOS solche SDKs, die den Fernseher in einen dauerhaft aktiven Proxy-Knoten verwandeln. Bei Samsungs Betriebssystem Tizen ist es mehr als ein Viertel. Ob TV-Apps mit Proxy-SDKs überhaupt eine echte Einwilligung einholen können, ist fraglich. Im Haushalt kann jeder den Familienfernseher in ein Proxy-Netz holen, auch Kinder, schon durch die Installation eines simplen Spiels.

Sean Simmons, Forschungsleiter bei Spur, sagte gegenüber KrebsOnSecurity, den meisten Menschen fehle ein Gefühl dafür, was es bedeutet, Zugang zur eigenen privaten IP-Adresse zu verkaufen. Auf einem Fernseher sei die Lücke noch größer: Eine einmalige Abfrage per Fernbedienung verschwinde leicht im Einrichtungsprozess, während die App die Verbindung noch lange danach zu Geld mache. Simmons fordert, LG und Samsung sollten dem Beispiel anderer Plattformen folgen. Amazon untersagt Apps, die Proxy-Dienste für Dritte ermöglichen, und auch der Streaming-Gerätehersteller Roku verbietet Entwicklern inzwischen Proxy-SDKs und hat entsprechende Apps entfernt.

Apps, die ein Gerät zum Proxy-Knoten machen, beschränken sich nicht auf Fernseher und No-Name-Boxen. Laut der Sicherheitsfirma Infoblox binden auch App-Entwickler die SDKs der Proxy-Netze in ihre Produkte ein, um pro Installation ein wenig Geld zu verdienen. Häufig landen Geräte so ohne Wissen der Besitzer im Netz, meist über kostenlose VPNs, Streaming-Apps, Bildschirmschoner oder Helfer wie PDF-Betrachter und Pausen-Erinnerungen.

Besonders heikel: Oft funken diese Proxy-Dienste aus Mitarbeitergeräten, die ins Unternehmen mitgebracht werden. Infoblox stellte fest, dass 65 Prozent der eigenen Kundenbasis mindestens eine mit Residential Proxys verbundene Domain abfragten. 2025 stiegen diese Abfragen um 25 Prozent auf über 500 Milliarden pro Monat. Über 90 Prozent der Kunden aus Pharma sowie Lebensmittel und Getränke waren betroffen, und sogar über 60 Prozent der Kunden aus Behörden und Bankwesen.

Was bedeutet das für Nutzer und Unternehmen in Deutschland?

Das BSI hat dieselbe Schadsoftware-Familie bereits Ende 2024 in Deutschland bekämpft und rund 30.000 infizierte Geräte vom Netz der Täter abgeschnitten. Wer eine billige No-Name-Box nutzt, sollte sie als möglichen Proxy-Knoten behandeln und im Zweifel vom Netz trennen.

Das Thema ist in Deutschland kein abstraktes Risiko. Im Dezember 2024 legte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die eng mit Vo1d verwandte BADBOX-Schadsoftware per Sinkholing lahm und kappte die Verbindung von rund 30.000 infizierten Geräten zu den Servern der Täter. Betroffen waren vor allem billige Android-Geräte mit veralteten Versionen, etwa Mediaplayer, TV-Boxen und digitale Bilderrahmen. Provider mit mehr als 100.000 Kunden müssen den BADBOX-Verkehr seither auf die Sinkhole-Server des BSI umleiten.

Im Juni 2025 warnte zusätzlich das FBI vor BADBOX 2.0 mit Millionen betroffener Geräte weltweit. Die Dunkelziffer dürfte auch hierzulande höher liegen als die offiziellen 30.000, denn längst nicht jedes infizierte Gerät kommuniziert über die bekannten Domains.

Für Verbraucher gilt deshalb: Finger weg von extrem billigen, nicht zertifizierten Android-Boxen ohne Play-Protect-Siegel. Wer schon eine solche Box besitzt, sollte sie bei verdächtigem Verhalten vom Netz nehmen und auf zertifizierte Hardware oder die Apps eines etablierten Herstellers setzen. Für Unternehmen kommt eine zweite Front hinzu: Mitarbeitergeräte und Smart-TVs im Büro können unbemerkt zu Proxy-Knoten werden und den eigenen Adressraum für fremde Angriffe öffnen. Ein Blick auf verdächtige DNS-Abfragen im Firmennetz lohnt sich.

Häufige Fragen zum Popa-Botnetz