Popa-Botnetz: 1,5 bis 2,5 Millionen Android-TV-Boxen gekapert
19.06.2026 - 23:27:47 | boerse-global.de
Der Schädling namens „Popa“ macht die Geräte zu geheimen Proxy-Servern – ohne Wissen der Besitzer.
Das Kapern von Geräten im Heimnetzwerk zeigt, wie verwundbar veraltete Systeme gegenüber moderner Cyberkriminalität sind. Dieser kostenlose PDF-Ratgeber erklärt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Schadsoftware absichern. Kostenlosen Sicherheits-Ratgeber für Android jetzt herunterladen
1,5 bis 2,5 Millionen aktive IPs täglich
Die Untersuchungen der Sicherheitsorganisationen Qurium und Synthient zeigen ein erschreckendes Ausmaß: Täglich greift Popa auf einen Pool von 1,5 bis 2,5 Millionen aktiven IP-Adressen zu. Technisch ist das Netzwerk ein Plugin des bekannten „Vo1d“-Botnets.
Die infizierten Android-TV-Boxen stammen meist aus preiswerten Online-Kanälen. Sie leiten Datenverkehr von Dritten weiter – für Werbebetrug, automatisiertes Datensammeln (Scraping) und die Übernahme von Benutzerkonten.
Laut Analysten von Infoblox zeigten rund 65 Prozent ihrer untersuchten Kundenkontakte bereits Spuren solcher Proxy-Domains. Das Botnetz ist seit etwa vier Jahren aktiv und hat sich zu einer zentralen Infrastruktur für die Verschleierung von Online-Aktivitäten entwickelt.
Verbindung zu kommerziellem Proxy-Anbieter
Ein brisanter Punkt: Die Forscher von Synthient fanden Belege, dass der Traffic von NetNut-Kunden direkt über die infizierten Popa-Geräte läuft. NetNut ist eine Tochter der israelischen Firma Alarum Technologies, die an der NASDAQ gelistet ist.
Kritik gibt es an unzureichenden Identitätsprüfungen bei der Neukundenaufnahme (Know Your Customer). Das ermöglicht es Kriminellen, die Infrastruktur für Ad-Fraud zu nutzen – Werbeanzeigen werden automatisiert abgerufen, um künstliche Reichweite zu generieren.
Die NetNut-Führung bestreitet die Vorwürfe. Ein Vertreter betonte, das Unternehmen habe keine Kontrolle über das Botnetz und weise die Behauptungen einer direkten Verbindung zurück.
Behörden schlagen zurück
Die Popa-Enthüllung kommt zu einer Zeit verstärkter Aktionen gegen Cyber-Infrastrukturen. Google zerschlug kürzlich das IPIDEA-Botnetz, das ebenfalls Millionen Geräte als Proxy-Server missbrauchte. An diesem Netzwerk sollen staatlich gestützte Gruppen beteiligt gewesen sein.
Internationale Behörden führten parallel die „Operation Endgame“ durch. Dabei traf es das SocGholish-Botnetz der russischen Gruppe Evil Corp. Die Aktion: 106 Server beschlagnahmt, rund 15.000 infizierte Websites bereinigt.
Wer Online-Dienste wie Banking oder WhatsApp auf Android-basierten Geräten nutzt, sollte die Risiken durch kriminelle Botnetze nicht unterschätzen. Erfahren Sie in diesem Gratis-PDF, welche 5 Schutzmaßnahmen IT-Experten empfehlen, um Hacker-Angriffe und Datenmissbrauch zuverlässig zu verhindern. 5 Schutzmaßnahmen für Android-Geräte kostenlos sichern
Auch der kanadische Geheimdienst CSIS erhielt neue Befugnisse: Er darf Malware von kompromittierten Geräten im Inland entfernen, um Proxy-Botnetze zu schwächen.
Vorsicht bei billigen Android-TV-Boxen
IT-Sicherheitsfirmen wie Bitdefender warnen zusätzlich vor Datenschutzrisiken bei Smart-TVs bestimmter Hersteller. Es gibt Hinweise, dass Softwarekomponenten in Heimnetzwerken regelmäßig Scans durchführen und Gerätedaten wie Hostnamen und IP-Adressen an externe Server senden.
China exportierte allein im vergangenen Jahr über 100 Millionen TV-Geräte. Experten sehen darin ein wachsendes Risiko für private und geschäftliche Netzwerke.
Verbraucher sollten bei günstigen Android-TV-Boxen vorsichtig sein. Sie werden oft mit veralteten Betriebssystemen oder vorinstallierter Schadsoftware ausgeliefert – eine Einladung für Botnetze wie Popa.
