Wenn dein Smart-TV heimlich Kriminellen als Tarnung dient

Google hat gemeinsam mit dem FBI, dem Netzbetreiber Lumen und weiteren Partnern das Proxy-Netzwerk NetNut abgeschaltet, das auch unter dem Namen Popa läuft. Das Besondere daran betrifft ganz normale Haushalte. Ein großer Teil der gekaperten Geräte sind Smart-TVs und Streaming-Boxen, die bei den Besitzern zu Hause stehen. Nach Schätzung der Google Threat Intelligence Group umfasste NetNut mindestens zwei Millionen Geräte weltweit.
Was ein Proxy-Netzwerk mit deinem Fernseher zu tun hat
Ein Residential-Proxy-Netzwerk verkauft die Möglichkeit, Datenverkehr über die IP-Adressen ganz normaler Privatanschlüsse zu leiten. Kriminelle verstecken so ihre Herkunft hinter einer unverdächtigen Heim-IP. Damit das funktioniert, muss auf möglichst vielen Geräten in Wohnungen ein Stück Code laufen, das sie zum Ausgangsknoten macht. Dieser Code landet über sogenannte SDKs auf Geräten, die in vielen Haushalten stehen, vor allem Smart-TVs und Streaming-Boxen, wie KrebsOnSecurity in eigenen Recherchen dokumentiert hat. Auf ein Gerät kommt die Schadsoftware auf zwei Wegen. Entweder ist sie schon vor dem Kauf vorinstalliert, oder Nutzer laden unwissentlich eine App mit verstecktem Proxy-Code herunter.
Warum das für Betroffene gefährlich ist
Wird das eigene Gerät zum Ausgangsknoten, läuft fremder Datenverkehr über den Heimanschluss. Die eigene IP-Adresse kann dann als Startrampe für Angriffe, Passwort-Attacken oder Betrug dienen. Für Betroffene heißt das: der eigene, legitime Datenverkehr wird als verdächtig eingestuft oder vom Anbieter blockiert. Zusätzlich können Angreifer über den gekaperten Knoten auf andere Geräte im selben Heimnetz zugreifen. In einer einzigen Woche im Juni 2026 zählte Google 316 verschiedene Angreifergruppen, die NetNut-Knoten nutzten, darunter Cyberkriminelle und Spionageakteure. Sicherheitsfirmen wie Synthient, Spur und Nokia Deepfield dokumentierten zudem, dass über NetNut Geräte mit Varianten des Mirai-DDoS-Botnetzes infiziert wurden.
Was Google unternommen hat
Google sperrte die Konten und Dienste, über die NetNut seine Schadsoftware steuerte, und teilte technische Details zu den SDKs und der Infrastruktur mit Behörden und Sicherheitsfirmen. Google Play Protect, der eingebaute Schutz von Android, warnt inzwischen automatisch vor Apps mit NetNut-Code und schaltet sie ab. Nach eigenen Angaben schrumpfte der verfügbare Gerätepool dadurch um Millionen. Ein Selbstläufer ist das nicht. NetNut betreibt ein Reseller-Programm, über das andere Anbieter dasselbe Botnetz unter eigenem Namen weiterverkaufen. Google rechnet damit, dass Betreiber bei Konkurrenten Kapazität einkaufen, sobald ihr eigenes Netz schwächelt.
So schützt du deine Geräte
Vorsicht bei Apps, die Geld fürs Teilen ungenutzter Bandbreite versprechen. Genau darüber wachsen solche Netzwerke. Google rät, nur offizielle App-Stores zu nutzen, die Berechtigungen von fremden VPN- und Proxy-Apps zu prüfen und Play Protect aktiv zu lassen. Beim Kauf von Streaming- oder Set-Top-Boxen solltest du auf seriöse Hersteller achten. Ob ein Android-Gerät Play-Protect-zertifiziert ist, lässt sich direkt bei Google prüfen. Für Fernseher führt die Android-TV-Seite die zertifizierten Partner.





