Sicherheitsforscher verknüpfen Botnet „Popa“ mit israelischem Proxy-Anbieter NetNut

Sicherheitsforscher haben das Botnet „Popa“ zum Proxy-Anbieter NetNut zurückverfolgt, einer Tochter der börsennotierten Alarum Technologies. Die Spur führt zu einem Alarum-Manager und einer 2020 in Lettland registrierten Firma.

Auslöser der Recherche war ein Scraping-Angriff im Mai 2026 auf die Website der Organisation Arab Reporters for Investigative Journalism (ARIJ), die von Qurium gehostet wird: Die Seite erhielt Anfragen von rund 1,35 Millionen einzelnen IP-Adressen, verteilt über mehr als 7.300 autonome Systeme und 223 Ländercodes.

Das Verhalten passte laut Qurium zum Proxy-Modell von NetNut – das Unternehmen selbst gibt an, in großem Stil zu scrapen, jedoch ohne dabei Proxys einzusetzen. Popa ist nach Einschätzung der Forscher kein eigenständiges Schadprogramm, sondern eine Zusatzkomponente des Android-Botnets „Vo1d“. Vo1d registriert und kontrolliert kompromittierte Geräte, Popa baut darauf eine Tunnel-Verbindung zur Proxy-Infrastruktur auf.

Die chinesische Sicherheitsfirma XLab hatte im Februar 2025 eine Vo1d-Variante dokumentiert, die zu diesem Zeitpunkt rund 1,6 Millionen Android-TV-Boxen weltweit betraf. Laut Qurium fand sich der Code in zahlreichen raubkopierten Streaming-Apps sowie im Torrent-Client MediaGet und im VPN-Dienst RoboVPN. RoboVPN wird von CyberKick betrieben, einer Geschäftseinheit, die 2021 von der Safe-T Group übernommen wurde – aus der später Alarum Technologies hervorging.

Auch der populäre YouTube-Client SmartTube für Android-TV-Geräte war nach Angaben der Forscher betroffen: Die Manipulation wurde im November 2025 entdeckt, reichte aber bis zur Version 28.56 zurück, die im Juni veröffentlicht worden war – Popa lief damit nach Qurium-Angaben mindestens fünf Monate unbemerkt mit.

Eine zentrale Spur führt laut dem Bericht zu Moshe (Moishi) Yehuda Kramer, der 2020 in Riga die Firma NinjaTech SIA registrierte. Die Firma wurde 2022 liquidiert, ihre Domain diente jedoch weiter als Kontrollserver für Popa. Kramer ist laut Qurium SVP Research & Development bei NetNut; nach Angaben auf Alarums eigener Webseite ist er zudem Chief Strategy & Innovation Officer von Alarum Technologies.

Auf eine Anfrage von Qurium erklärte er, NinjaTech habe den Betrieb vor Jahren eingestellt, und warnte davor, aus historischen Zusammenhängen vorschnelle Schlüsse zu ziehen. Alarum Technologies weist die Vorwürfe zurück. Die Berichte von Qurium und Synthient enthielten laut einer Stellungnahme des Unternehmens ungenaue Behauptungen und fehlerhafte Schlussfolgerungen.

Gegenüber Krebs äußerte sich Kramer ausführlicher: Das von NinjaTech vor rund fünf Jahren verkaufte SDK habe „Popa“ geheißen und sei für eine nutzergesteuerte Einwilligung sowie geringen Bandbreitenverbrauch konzipiert gewesen. Einmal verkauft und weiterlizenziert, habe der ursprüngliche Entwickler keine Kontrolle mehr darüber, wie Dritte den Code später veränderten oder einsetzten, so Kramer. Die im Juni 2025 registrierten Kontrolldomains habe weder er noch NetNut angemeldet oder betrieben.

Die betroffenen SDKs dienten dem freiwilligen Teilen von Bandbreite und verwandelten Geräte nicht in malware-gesteuerte Systeme, so Alarum. NetNut betreibe ein kommerzielles Proxy-Netzwerk mit Einwilligungsmechanismen und Maßnahmen gegen Missbrauch.

Quellen: Qurium Media Foundation, KrebsOnSecurity

Was ist das Botnet „Popa“?

Popa ist keine eigenständige Schadsoftware, sondern eine Zusatzkomponente (SDK) des Android-Botnets „Vo1d“. Sie baut auf bereits kompromittierten Geräten eine Tunnel-Verbindung zu einer Proxy-Infrastruktur auf und macht das Gerät damit zu einem Relay-Knoten für fremden Internetverkehr.

Welche Verbindung besteht zu NetNut und Alarum Technologies?

Qurium beschreibt mehrere technische und personelle Überschneidungen: Eine im Popa-Ökosystem genutzte Bibliothek fand sich auch im VPN-Dienst RoboVPN, der von der heute zu Alarum Technologies gehörenden CyberKick betrieben wird. Zudem registrierte Moshe Yehuda Kramer, der laut Qurium SVP Research & Development bei NetNut und laut Alarums eigener Webseite Chief Strategy & Innovation Officer von Alarum Technologies ist, im Jahr 2020 die Firma NinjaTech SIA, deren Domain weiter als Kontrollserver für Popa diente.

Wie reagiert Alarum Technologies auf die Vorwürfe?

Alarum Technologies weist die Vorwürfe zurück und bezeichnet die Berichte von Qurium und Synthient als ungenau und auf fehlerhaften Schlussfolgerungen beruhend. Das Unternehmen erklärt, die betroffenen SDKs dienten dem freiwilligen Teilen von Bandbreite und würden Geräte nicht in malware-gesteuerte Systeme verwandeln. NetNut betreibe ein kommerzielles Proxy-Netzwerk mit Einwilligungsmechanismen.