Im Zentrum der Maßnahme stand nach Angaben von Google die Backend-Infrastruktur des Botnetzes. Das Unternehmen deaktivierte Google-Konten und zugehörige Dienste, die für Kommando-und-Kontrolle genutzt wurden, und kappte damit die Steuerungsinfrastruktur des Netzwerks. Zusätzlich deaktivierte Google die infizierten Anwendungen über Google Play Protect und warnte betroffene Nutzer automatisch vor der Bedrohung.
Google teilte außerdem Bedrohungsinformationen mit Industriepartnern und Strafverfolgern. Die koordinierte Aktion erfolgte gemeinsam mit dem FBI und weiteren Organisationen. Ziel war NetNut, ein Residential-Proxy-Netzwerk, das laut Google aus kompromittierten Android-Geräten aufgebaut wurde und Angreifern als Tarninfrastruktur diente.
Das Netzwerk ist auch unter dem Namen Popa bekannt. Es soll aus mehr als 2 Millionen Android-Geräten bestehen, etwa Smart-TVs und Streaming-Boxen, die über trojanisierte Apps und Malware wie Badbox 2.0 infiziert wurden. Der Betreiber, der mit dem börsennotierten israelischen Unternehmen Alarum Technologies Ltd verbunden sein soll, vermietete die Residential Proxies an verschiedene Bedrohungsakteure, darunter cyberkriminelle Gruppen und Akteure aus dem Bereich der Spionage.
Wie intensiv NetNut genutzt wurde, illustriert eine von Google genannte Beobachtung aus dem Juni: In nur einer Woche registrierte das Unternehmen 316 unterschiedliche Bedrohungscluster, die das Netzwerk einsetzten. Verwendet wurde es demnach unter anderem, um bei Passwort-Spraying-Angriffen die Herkunft zu verschleiern und um auf Umgebungen von Opfern zuzugreifen.
Google erklärte, man gehe davon aus, dass die abgestimmten Maßnahmen zu einer erheblichen Schwächung von NetNut und seiner Geschäftsabläufe geführt hätten. Der verfügbare Pool an Geräten für den Proxy-Betreiber sei dadurch um Millionen geschrumpft. Nach Darstellung des Unternehmens verkauft NetNut den Zugang zu dem Residential-Proxy-Netzwerk nicht nur unter eigener Marke, sondern betreibt auch ein Wiederverkäuferprogramm. Dadurch könnten andere bekannte Marken das NetNut-Botnetz als Eigenmarke anbieten.
Die Aktion gegen NetNut folgt auf die Störung von IPIDEA im Januar. Google erwartet davon Auswirkungen auf das gesamte Ökosystem. Nach Beobachtung des Unternehmens kaufen Proxy-Betreiber, wenn ihr eigenes Botnetz geschwächt wird, Kapazitäten bei Wettbewerbern ein und treten damit faktisch selbst als Wiederverkäufer auf. Eine dauerhafte Störung dieses beweglichen Ökosystems erfordere deshalb Maßnahmen gegen die Infrastruktur mehrerer miteinander verbundener Anbieter.
