https://cyberveille.ch/tags/popa/ Recent content in Popa on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-le-botnet-android-popa-lie-a-la-societe-israelienne-cotee-alarum-technologies-netnut/ Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-le-botnet-android-popa-lie-a-la-societe-israelienne-cotee-alarum-technologies-netnut/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Publié le 18 juin 2026 sur KrebsOnSecurity, cet article synthétise les rapports simultanés de plusieurs sociétés de sécurité (Qurium, Synthient, Spur, Nokia Deepfield, Black Lotus Labs/Lumen, Include Security, Infoblox) concernant le botnet <strong>Popa</strong> et son lien avec <strong>NetNut</strong>, opérateur de proxies résidentiels filiale d&rsquo;<strong>Alarum Technologies Ltd</strong> (NASDAQ: ALAR), société israélienne cotée en bourse.</p> <h2 id="-description-du-botnet-popa">🦠 Description du botnet Popa</h2> <p><strong>Popa</strong> est un botnet Android actif depuis environ quatre ans, ciblant principalement des <strong>box TV Android non officielles</strong> vendues en ligne. Il s&rsquo;agit d&rsquo;un composant plugin associé au <strong>botnet Vo1d</strong>. Ses caractéristiques principales :</p> https://cyberveille.ch/posts/2026-06-19-popa-le-sdk-proxy-residentiel-lie-a-vo1d-badbox-infectant-millions-d-appareils-android/ Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-popa-le-sdk-proxy-residentiel-lie-a-vo1d-badbox-infectant-millions-d-appareils-android/ <p>🔍 <strong>Contexte</strong> : Le 18 juin 2026, Qurium Media Foundation publie une investigation approfondie, en collaboration avec Nokia Deepfield Emergency Response Team et Synthient, sur l&rsquo;infrastructure derrière deux événements massifs de scraping ayant ciblé des organisations hébergées en mai 2026, dont le site d&rsquo;Arab Reporters for Investigative Journalism (ARIJ), touché par ~1,35 million d&rsquo;adresses IP uniques.</p> <p>🦠 <strong>Nature de la menace</strong> : <strong>Popa</strong> est un SDK/plugin de proxy résidentiel conçu pour enrôler des appareils (avec ou sans consentement) afin qu&rsquo;ils servent de nœuds relais dans un réseau proxy résidentiel. Il est intégré comme composant du <strong>botnet Vo1d</strong> (aussi connu sous Badbox 2.0), ciblant principalement les <strong>TV boxes Android</strong>. L&rsquo;infrastructure globale est désignée sous le nom <strong>Popanet</strong>.</p> https://cyberveille.ch/posts/2026-06-19-robovpn-integre-le-sdk-neunative-connecte-au-backend-botnet-vo1d-popa-via-gmslb-net/ Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-robovpn-integre-le-sdk-neunative-connecte-au-backend-botnet-vo1d-popa-via-gmslb-net/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 18 juin 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente l&rsquo;analyse statique du client Windows de <strong>RoboVPN</strong>, un VPN commercial gratuit édité par <strong>Cyberkick Ltd.</strong> L&rsquo;analyse repose exclusivement sur le désassemblage statique (MSI, .NET, ILSpy, Ghidra) sans exécution de malware.</p> <h2 id="-composants-identifiés">🧩 Composants identifiés</h2> <p>L&rsquo;installateur MSI contient un bundle .NET 6 (57 assemblies compressées) et quatre DLL natives x64. Parmi les dépendances NuGet déclarées comme routinières figure <strong>NeunativeNG 8.0.36</strong>, un SDK proxy résidentiel qui :</p>