Un'operazione congiunta tra Google, FBI e ricercatori del settore della sicurezza informatica ha portato all'interruzione delle attività di NetNut, un servizio commerciale di proxy residenziali identificato dagli esperti anche con il nome di Popa botnet. Secondo le analisi, la rete sfruttava oltre 2 milioni di dispositivi Android distribuiti a livello globale, trasformandoli in proxy in uscita del traffico Internet utilizzati per attività illecite.

Alla base del sistema c'era un SDK malevolo integrato in dispositivi Android a basso costo, tra cui smart TV e media box, oltre che in alcune applicazioni non ufficiali, come SmartTube. Una volta collegati a Internet, questi dispositivi iniziavano a veicolare traffico attraverso le rispettive connessioni domestiche senza consenso e senza che gli utenti ne avessero contezza.

L'utilizzo di indirizzi IP residenziali consentiva agli attaccanti di rendere molto più difficile il rilevamento delle attività dannose da parte dei sistemi di sicurezza. Secondo Google, durante una sola settimana del mese di giugno 2026 almeno 316 diversi gruppi di minaccia hanno utilizzato l'infrastruttura di NetNut per eseguire password spraying, furto di credenziali, frodi pubblicitarie e raccolta di dati sensibili.