Popa Botnetz kapert Smart TVs für Web-Scraping

Veröffentlicht am 22. Juni 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Sicherheitsforscher haben ein Botnetz enttarnt, welches Millionen Smart TVs gekapert hat. Die Millionen Android Smart TV-Geräte, die Teil des Popa-Botnets sind, leiteten Webverkehr (Web-Scaping) an dessen Betreiber weiter. Aufgefallen ist dies durch einen massiven Scraping-Vorfall bei Arab Reporters for Investigative Journalism (ARIJ).

Ich bin über diverse Tweets auf den Sachverhalt gestoßen, der von den Qurium- Sicherheitsforschern im Beitrag Finding "Popa": When Your Smart TV Stops Being Yours offen gelegt wurde.

Popa-Botnet

Das Konzept des Popa-Botnetzes

Popa ist darauf ausgelegt, Geräte zu einem privaten Proxy-Netzwerk zusammenzuschalten (entweder mit oder ohne informierte Zustimmung des Gerätebesitzers). Geräte, die Teil des Popa-Botnetzes sind, dienen als Relais- oder Ausgangsknoten, um Dritten zu  ermöglichen, ihren Datenverkehr über eine scheinbar normale private Internetverbindung zu leiten.

Popa wurde als Plugin-Komponente im Zusammenhang mit dem Vo1d-Botnetz entdeckt. Dabei handelt es sich um eine groß angelegte Malware-Kampagne, die auf Android-basierte TV-Boxen und ähnliche Geräte abzielt, schreiben die Entdecker. Popa fungiert als Netzwerkebene, die die Tunneling-Funktionen bereitstellt.

Bei Vo1d infiziert und verwaltet das Hauptbotnetz die Geräte, während das Popa-Modul später hinzugefügt werden kann. Dann stellt es die Kommunikation mit der Command-and-Control-Infrastruktur her, und registriert das Gerät. Dabei wird das Gerät in einen Knoten umgewandelt, der Datenverkehr für den Betreiber des privaten Proxys weiterleiten kann. Popa kann auch in kompromittierte Anwendungen integriert werden, darunter VPNs, Streaming-Dienste, Spiele oder Torrent-Clients. Das können auch raubkopierte und infizierte Apps oder Open Source-Apps sein.

Entdeckung des Popa-Botnetzes

Im Mai 2026 wurde die Website von "Arab Reporters for Investigative Journalism" (ARIJ) Ziel eines groß angelegten Scraping-Angriffs. Dabei wurde der Traffic von etwa 1,35 Millionen eindeutigen IP-Adressen erzeugt, die sich auf mehr als 7.300 autonome Systeme und 223 Ländercodes verteilten.

Die Untersuchung von Qurium mit dem Titel "Opaque Scrapers Hiding in the Crowd" (mit weiteren Artikeln hier zu finden) deckte auf, dass das beobachtete Verhalten des massiven Scraper-Angriffs mit dem ISP-integrierten Proxy-Modell des israelischen Unternehmens NetNut übereinstimmte. NetNut behauptet, Inhalte in großem Umfang ohne den Einsatz von Proxys zu scrapen.

Knapp  einen Monat nach der Veröffentlichung von „Opaque Scrapers" veröffentlicht Qurium in Zusammenarbeit mit unabhängigen Forschern im Bereich Threat Intelligence – darunter das Nokia Deepfield Emergency Response Team und Synthient – neue Erkenntnisse. Die Popa-Infrastruktur wurde beim Scraping-Vorfall missbraucht. Popa gehört zu einer Familie von Residential-Proxy-Software, die Verbrauchergeräte wie Smart TVs in Internet-Relay-Knoten verwandelt.

Das Thema Web Scraping über Smart TV hatte ich vor einigen Tagen schon mal im Blog (siehe Link am Artikelende) – allerdings nicht im Zusammenhang mit einem Botnet. Die Israelische Firma Bright Data hat mich bereits zwei Mal aufgefordert, den Blog-Beitrag "wegen irreführender Behauptungen" zu löschen und besteht darauf, dass das alles im Konsens mit den Benutzern passiert.

Die Sicherheitsforscher verdächtigen anhand vieler Indizien, die im Artikel beschrieben werden, die Firmen NetNut und Alarum Technologies das Popa-Botnet zu betreiben. Verbindungen, die mit Popa zusammen hängen, führen zu Moshe (Moishi) Yehuda Kramer. Dieser gründete NinjaTech SIA in Riga (aufgelöst 2022), und ist Mitgründer von NetNut und auch bei Alarum Technologies aktiv. Details lassen sich im Beitrag Finding "Popa": When Your Smart TV Stops Being Yours nachlesen. Ein deutschsprachiger Beitrag findet sich hier.

Web-Scraping ein großes Problem

Ergänzung: Gerade im Nachgang zu obigem Text auf folgenden Tweet gestoßen, der zeigt, wie groß das Problem des Web-Scaping bereits ist. In diesem Fall hat es die Schweizer Plattform abuse.ch getroffen, die per Web-Scraping lahm gelegt wurde.

WebScraping

Die IP-Adressen der Scraping-Knoten finden sich auf GitHub.

Ähnliche Artikel:
Wie Smart TV-Geräte und Streaming-Anbieter die Zuschauer tracken
Israelische Firma Bright Data nutzt Apps in Smart-TV für KI-Web-Scraping

Dieser Beitrag wurde unter Sicherheit, Software, TV abgelegt und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

4 Kommentare zu Popa Botnetz kapert Smart TVs für Web-Scraping

  1. Jogi sagt:
    22. Juni 2026 um 12:36 Uhr

    Wenn der unerwünschte Proxy-Server auf einem Smart-TV läuft, der über den Internet-Router nach "draußen" geht, könnte man einfach
    proxyjs.brdtnet.com
    proxyjs.luminatinet.com
    proxyjs.bright-sdk.com
    clientsdk.bright-sdk.com
    clientsdk.brdtnet.com
    im Router oder gegebenenfalls einem pi-hole Server, wenn der die DNS-Auflösung macht, blockieren und es wäre Ruhe.
    Wenn das Gerät aber über Mobilfunk ins Internet geht (bei einem iOS oder Android Tablet z.B.) hilft das nicht. Ich habe keine Ahnungm, ob sich das auch auf Smartphones und Tablets blockieren läßt.
    Grüße an die Runde.

    Antworten
    • Gänseblümchen sagt:
      22. Juni 2026 um 16:11 Uhr

      In dem zweiten Link von Oben aus dem Artikel stehen tatsächliche Domain-Namen drin, die von Popa genutzt werden, also tatsächliche Popa-IOCs.

      Die Frage, die mich eigentlich viel mehr interessiert, ist
      – welche Marken/Modelle von TVs sind betroffen, oder alle mit einer bestimmten Basis-Software wie Android-TV ab/vor Version soundso? Neben Smart-TVs auch reine Reciever-Medienboxen wie z.B. die Dinger von Amazon, Magenta, …
      – wie kann ich feststellen, ob meine Glotze betroffen ist? (Die meisten normalen Heimrouter protokollieren keine Internet-Zugriffe, ich weiß also nicht, welche der Adressen schon aufgerufen wurden.) (Muss ich mir jetzt echt noch einen RaPi oder so als Router/DNS dazwischen stellen oder auf dem Netz sniffen, um das festzustellen?)
      – Wie werde ich den Dreck wieder los? TV auf Werkseinstellung, oder muss der in die Tonne? (Wieder 1000++ Euro für eine neue Glotze fällig?)

      Antworten
    • Martin F. sagt:
      22. Juni 2026 um 16:59 Uhr

      Eine Möglichkeit wäre ein VPN zu einem Netzwerk, wo ein Pihole die Domainanfragen ablehnt (bzw. mit localhost etc. beantwortet), ggf. auch mit Umleitung des Standardgateways.

      Eine andere Möglichkeit sind Apps wie Netguard, die ein VPN "simulieren", in der App können dann Regeln angewendet oder beispielsweise eine geänderte Hosts-Datei verwendet werden.

      Antworten
  2. CareGummyBeer sagt:
    22. Juni 2026 um 19:26 Uhr

    Es sind auch die LG tvs betroffen. Also webOS und Samsungs TIZEN.

    Am besten die Geräte einfach gar nicht ins Netz lassen. ;-)

    Alternativ wirklich die Domains sperren die gelistet wurden.

    Quelle:
    https://thehackernews.com/2026/06/free-apps-are-quietly-turning-smart-tvs.html?m=1

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.