Popa : le SDK proxy résidentiel lié à Vo1d/Badbox infectant millions d'appareils Android

🔍 Contexte : Le 18 juin 2026, Qurium Media Foundation publie une investigation approfondie, en collaboration avec Nokia Deepfield Emergency Response Team et Synthient, sur l’infrastructure derrière deux événements massifs de scraping ayant ciblé des organisations hébergées en mai 2026, dont le site d’Arab Reporters for Investigative Journalism (ARIJ), touché par ~1,35 million d’adresses IP uniques.

🦠 Nature de la menace : Popa est un SDK/plugin de proxy résidentiel conçu pour enrôler des appareils (avec ou sans consentement) afin qu’ils servent de nœuds relais dans un réseau proxy résidentiel. Il est intégré comme composant du botnet Vo1d (aussi connu sous Badbox 2.0), ciblant principalement les TV boxes Android. L’infrastructure globale est désignée sous le nom Popanet.

⚙️ Fonctionnement technique :

• Le plugin Popa s’enregistre auprès d’une infrastructure C2 via des domaines de type lb.<domaine> (load balancer), puis se connecte à des serveurs backend s####.<domaine> sur le port TCP 6000
• Protocole propriétaire Popa TLV (Type-Length-Value) injecté dans les paquets pour le multiplexage de tunnels
• Implémentation initiale en Java (Android), remplacée par une bibliothèque native C (libneunative / neonative.dll) compilée avec Android NDK LLVM
• Mécanisme de fallback via Google Drive pour découvrir de nouveaux domaines C2
• Aucun mécanisme d’authentification entre les appareils compromis et l’infrastructure backend

📦 Vecteurs de distribution identifiés :

• Applications de streaming piratées : CRICFy, DooFlix, Sportzfy, RTS TV, Flixoid, CyberFlix, Rapid Streamz, TvMob, HD/Ocean Streamz
• RoboVPN (service VPN de CyberKick/Alarum Technologies) contenant neonative.dll
• MediaGet (client torrent, signé Global Microtrading PTE. LTD) distribuant neunative_setup_2_2025-06-17.exe
• Smart Tube (client YouTube open-source pour Android TV) : versions 28.56 à 30.51 compromises (juin à novembre 2025), contenant libneunative et libalphasdk
• Application “UK Turks” bundlée avec LibraVPN (Safe-T)
• ~5000 échantillons identifiés sur VirusTotal communicant avec 46 domaines de contrôle et 300+ serveurs backend

🏢 Attribution et liens corporatifs :

• Le domaine ninjatech.io (enregistré en 2020) promouvait un SDK de monétisation de bande passante inactive
• La société NinjaTech SIA (Lettonie, liquidée 2022) était enregistrée au nom de Moshe (Moishi) Yehuda Kramer, co-fondateur de NetNut et actuel SVP R&D / Chief Strategy & Innovation Officer chez Alarum Technologies Ltd.
• Alarum Technologies possède NetNut et a acquis CyberKick (opérateur de RoboVPN) via Safe-T Group Ltd.
• Chevauchements d’infrastructure entre sdk.netnut.io, api.cyberprotector.online, sdk.ninjatech.io et lb.gmslb.net

🌐 Infrastructure C2 (domaines Popa) : 46 domaines identifiés dont gmslb.net, phonemesh.org, linkmob.org, peercon.org, phonegrid.org, safernetwork.io, lbk-sol.com, sklstech.com, kyc-holdings.com, ninjatech.io, net-echo.com, tera-home.com, sky-borders.com, et de nombreux domaines enregistrés en juin 2025 après le sinkholing opéré par Google, Trend Micro et Shadowserver.

📊 Type d’article : Publication de recherche forensique/CTI à visée d’attribution, exposant l’infrastructure technique et les liens corporatifs d’un écosystème de proxy résidentiel malveillant.

🧠 TTPs et IOCs détectés

TTP

• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1584.001 — Compromise Infrastructure: Domains (Resource Development)
• T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1090.002 — Proxy: External Proxy (Command and Control)
• T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
• T1568 — Dynamic Resolution (Command and Control)
• T1102 — Web Service (Command and Control)
• T1496 — Resource Hijacking (Impact)

IOC

• Domaines : gmslb.net — VT · URLhaus · ThreatFox
• Domaines : phonemesh.org — VT · URLhaus · ThreatFox
• Domaines : linkmob.org — VT · URLhaus · ThreatFox
• Domaines : peercon.org — VT · URLhaus · ThreatFox
• Domaines : phonegrid.org — VT · URLhaus · ThreatFox
• Domaines : safernetwork.io — VT · URLhaus · ThreatFox
• Domaines : lbk-sol.com — VT · URLhaus · ThreatFox
• Domaines : sklstech.com — VT · URLhaus · ThreatFox
• Domaines : kyc-holdings.com — VT · URLhaus · ThreatFox
• Domaines : axe-net.com — VT · URLhaus · ThreatFox
• Domaines : byte-armor.com — VT · URLhaus · ThreatFox
• Domaines : byte-buff.com — VT · URLhaus · ThreatFox
• Domaines : cool-horizon.com — VT · URLhaus · ThreatFox
• Domaines : dnetk.com — VT · URLhaus · ThreatFox
• Domaines : earth2trust.com — VT · URLhaus · ThreatFox
• Domaines : fast-mob.com — VT · URLhaus · ThreatFox
• Domaines : flexible-networks.com — VT · URLhaus · ThreatFox
• Domaines : ginuary.com — VT · URLhaus · ThreatFox
• Domaines : grid-push.com — VT · URLhaus · ThreatFox
• Domaines : house-spirit.com — VT · URLhaus · ThreatFox
• Domaines : link-flux.com — VT · URLhaus · ThreatFox
• Domaines : litics-net.com — VT · URLhaus · ThreatFox
• Domaines : mob-hit.com — VT · URLhaus · ThreatFox
• Domaines : net-echo.com — VT · URLhaus · ThreatFox
• Domaines : newcommreview.com — VT · URLhaus · ThreatFox
• Domaines : nice-protect.com — VT · URLhaus · ThreatFox
• Domaines : ninjatech.io — VT · URLhaus · ThreatFox
• Domaines : nova-lan.com — VT · URLhaus · ThreatFox
• Domaines : novel-layer.com — VT · URLhaus · ThreatFox
• Domaines : noverland.com — VT · URLhaus · ThreatFox
• Domaines : pixellog.io — VT · URLhaus · ThreatFox
• Domaines : pulse-vol.com — VT · URLhaus · ThreatFox
• Domaines : sdkmob.org — VT · URLhaus · ThreatFox
• Domaines : shield-sky.com — VT · URLhaus · ThreatFox
• Domaines : sky-borders.com — VT · URLhaus · ThreatFox
• Domaines : star-layer.com — VT · URLhaus · ThreatFox
• Domaines : swift-zip.com — VT · URLhaus · ThreatFox
• Domaines : tera-home.com — VT · URLhaus · ThreatFox
• Domaines : vault-sentinel.com — VT · URLhaus · ThreatFox
• Domaines : viki-play.com — VT · URLhaus · ThreatFox
• Domaines : voltix-net.com — VT · URLhaus · ThreatFox
• Domaines : worker-net.com — VT · URLhaus · ThreatFox
• Domaines : world2trust.com — VT · URLhaus · ThreatFox
• Domaines : yoursfind.com — VT · URLhaus · ThreatFox
• Domaines : zen-tava.com — VT · URLhaus · ThreatFox
• Domaines : zync-stream.com — VT · URLhaus · ThreatFox
• Domaines : cyberprotector.online — VT · URLhaus · ThreatFox
• Domaines : myrc.xyz — VT · URLhaus · ThreatFox
• Domaines : monetizeapp.net — VT · URLhaus · ThreatFox
• URLs : https://mediaget.com/installer/binaries/neunative_setup_2_2025-06-17.exe — URLhaus
• Fichiers : neonative.dll
• Fichiers : neunative-m.exe
• Fichiers : neunative_setup_2_2025-06-17.exe

Malware / Outils

• Popa (other)
• Vo1d (botnet)
• libneunative (other)
• libalphasdk (other)
• neonative.dll (other)

🟡 Indice de vérification factuelle : 62/100 (moyenne)

• ⬜ qurium.org — source non référencée (0pts)
• ✅ 20786 chars — texte complet (fulltext extrait) (15pts)
• ✅ 53 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 2/4 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (12pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• phonemesh.org (domain) → VT (13/91 détections)
• linkmob.org (domain) → VT (15/91 détections)

🔗 Source originale : https://www.qurium.org/forensics/finding-popa/