Android TV

🗓️ Contexte Publié le 18 juin 2026 sur KrebsOnSecurity, cet article synthétise les rapports simultanés de plusieurs sociétés de sécurité (Qurium, Synthient, Spur, Nokia Deepfield, Black Lotus Labs/Lumen, Include Security, Infoblox) concernant le botnet Popa et son lien avec NetNut, opérateur de proxies résidentiels filiale d’Alarum Technologies Ltd (NASDAQ: ALAR), société israélienne cotée en bourse. 🦠 Description du botnet Popa Popa est un botnet Android actif depuis environ quatre ans, ciblant principalement des box TV Android non officielles vendues en ligne. Il s’agit d’un composant plugin associé au botnet Vo1d. Ses caractéristiques principales : ...

🔍 Contexte : Le 18 juin 2026, Qurium Media Foundation publie une investigation approfondie, en collaboration avec Nokia Deepfield Emergency Response Team et Synthient, sur l’infrastructure derrière deux événements massifs de scraping ayant ciblé des organisations hébergées en mai 2026, dont le site d’Arab Reporters for Investigative Journalism (ARIJ), touché par ~1,35 million d’adresses IP uniques. 🦠 Nature de la menace : Popa est un SDK/plugin de proxy résidentiel conçu pour enrôler des appareils (avec ou sans consentement) afin qu’ils servent de nœuds relais dans un réseau proxy résidentiel. Il est intégré comme composant du botnet Vo1d (aussi connu sous Badbox 2.0), ciblant principalement les TV boxes Android. L’infrastructure globale est désignée sous le nom Popanet. ...

🔍 Contexte Publié le 28 mars 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente Drifter, un botnet DDoS jusqu’alors inconnu. Il s’inscrit dans une série de recherches sur l’écosystème de botnets exploitant la surface d’attaque ADB (Android Debug Bridge) sur des appareils Android TV non certifiés. 🎯 Vecteur d’infection et cibles Drifter cible les appareils Android TV AOSP bon marché exposant ADB sans authentification, la même population de dispositifs que MossadProxy v2.5.2, Jackskid et Kimwolf. Le dropper installe l’APK sous le nom com.siliconworks.android.update, accorde des permissions runtime, se met en liste blanche de l’optimisation batterie, et se relance toutes les 60 secondes via un BootReceiver (priorité 999). ...