Auf den Punkt: Das vierjährige Popa-Botnet zur Monetisierung gehackter TV-Boxen wird technisch und personell zu dem israelischen Proxy-Anbieter NetNut (Alarum Technologies) zurückverfolgt.
Das Android-Botnet Popa, das Millionen von TV-Boxen für Werbebetrug und Datenklaue missbraucht, wird von Forschern mit dem Residential-Proxy-Anbieter NetNut verbunden — ein Geschäftsbereich der börsennotierten Firma Alarum Technologies Ltd aus Israel.
Das Popa-Botnet operiert seit vier Jahren und zwingt Millionen Consumer-TV-Boxen dazu, Internetverkehr für Advertising-Fraud, Account-Übernahmen und großflächiges Daten-Scraping weiterzuleiten. Sicherheitsforschern mehrerer Firmen ist es diese Woche gelungen, Popa mit NetNut zu verknüpfen — ein Residential-Proxy-Service, betrieben von der an der NASDAQ gelisteten israelischen Firma Alarum Technologies Ltd.
Popa unterscheidet sich von klassischen Botnets: Statt massive DDoS-Anschläge zu koordinieren, scheint es ausschließlich als Kommunikationslayer konzipiert zu sein. Das Botnet registriert Geräte, hält verschlüsselte Verbindungen offen und öffnet bei Bedarf Kommunikationstunnel. Experten klassifizieren Popa als Plugin-Komponente des Vo1d-Botnets, das auf inoffiziellen Android-TV-Boxen zielt, die unter Tausenden verschiedener Markennamen verkauft werden und den Zugang zu Hunderten von Streaming-Diensten für eine Einmalgebühr versprechen.
Die Verbindung zu Alarum Technologies wurde durch eine Kette von technischen Hinweisen aufgedeckt: Das chinesische Sicherheitsunternehmen XLAB identifizierte 2025 erstmals neun Domainnamen zur Steuerung von Popa. Die Sicherheitsfirma Qurium entdeckte diese Domains später während der Untersuchung massiver Daten-Scraping-Anschläge im Mai 2026 — verteilt auf über 1,4 Millionen IP-Adressen. Qurium fand dutzende Popa-Kontrolledomains wie gmslb[.]net, safernetwork[.]io, tera-home[.]com und ninjatech[.]io in raubkopierter Streaming-Software wie CRICFy, DooFlix und CyberFlix vor.
Der entscheidende Link: ninjatech[.]io wurde von Moishi Kramer gegründet — laut LinkedIn Vice President für Forschung und Entwicklung bei NetNut und Mitarchitekt der Plattform vor der Übernahme durch Alarum Technologies. Ein Jobbörsen-Eintrag listet Kramer als alleinigen Eigentümer der Ninjatech-Domain. Nach der Stilllegung mehrerer Popa-Domains im Juli 2025 durch Google, HUMAN Security und Trend Micro wurden neue Kontrolledomains registriert — doch ninjatech[.]io war schon vorhanden.
Quelle: krebsonsecurity.com · Erschienen 18. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.