2026-06-21 05:32:02 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 一个名为Popa的代理软件开发工具包（SDK）被曝光，它能将手机、电视盒子等设备变为住宅代理网络节点。该SDK通过盗版应用、山寨盒子及捆绑安装等多种渠道植入，覆盖安卓和Windows平台。其运作隐蔽，通过动态配置规避封禁，并采用私有协议与后端服务器通信。值得注意的是，这套基础设施与以色列上市公司AlarumTechnologies旗下的住宅代理服务商NetNut存在深度关联。报告揭示了该网络日均活跃IP可达数百万，并被用于AI数据抓取等活动，给用户设备安全和企业网络带来了风险。 综合评分： 85 文章分类： 恶意软件,移动安全,网络安全,解决方案,技术标准

cover_image

一僵尸网络被曝光与以色列上市公司有关

原创

黑鸟黑鸟

黑鸟

2026年6月19日 23:44 广东

在小说阅读器读本章

去阅读

很多人可能没有意识到，自己手里的手机、家里的电视盒子，都有可能在后台悄悄被接入商业住宅代理网络，替第三方转发网络流量。

2026 年 6 月 18 日，Synthient、Nokia Deepfield、Qurium 媒体基金会与 KrebsOnSecurity 同步发布系列研究，完整揭开了 Popa 与 Neunative 代理 SDK 的完整生态。

这套 SDK 横跨安卓、Windows 两大平台，通过盗版流媒体应用、山寨电视盒子、甚至下载工具等多种渠道植入，最终汇入同一套住宅代理基础设施，而这套网络与上市企业 Alarum Technologies 旗下的代理服务商 NetNut 存在深度关联。

#

Popa 不是单一的恶意程序，而是一个持续迭代多年的代理软件开发工具包家族，核心目标是将普通消费级设备转化为住宅代理网络的出口节点。经过多年演化，它已经形成了多语言、多平台、多品牌的完整矩阵，不同变体分别适配不同的植入场景。

| 分支名称 | 包名 | 开发语言 | 最早样本时间 | 主要运行平台 | | — | — | — | — | — | | Moneytiser | io.moneytise | Java | 2020 年 12 月 | 安卓 | | Popa | io.popanet | Java | 2022 年 3 月 | 安卓 | | Loopop | io.nn.lp | Java | 2023 年 11 月 | 安卓 | | Neupop / Neunative | io.nn.neunative / NeunativeWin.dll | C++ | 2026 年 2 月 | 安卓、Windows |

这套 SDK 的植入渠道覆盖了非常广泛的消费设备，几乎所有能安装第三方应用的终端都可能成为载体。

安卓端是重灾区，一方面 Vo1d 僵尸网络通过山寨电视盒子大规模感染设备，植入 Popa 插件。另一方面大量盗版流媒体应用会主动捆绑 SDK，包括 Ocean Streamz、CyberFlix、Flixoid、Sportzfy 等数十款热门盗版应用，用户安装这类软件的同时，设备就会被纳入代理网络。（最早的发现来自xlab

https://blog.xlab.qianxin.com/long-live-the-vo1d_botnet/）

甚至连开源应用 Smart Tube 也曾遭篡改，在多个版本中被植入代理 SDK，持续运营了五个月才被社区发现。Windows 端同样存在植入路径。最典型的案例是 RoboVPN，一款宣称主打隐私保护的商业 VPN 产品，其安装包内以 NuGet 依赖的形式捆绑了完整的 Neunative 代理 SDK。

此外知名 BT 下载工具 MediaGet 也内置了同一款 SDK，用户在安装下载软件的同时，设备就会自动加入代理池。智能电视平台的渗透同样惊人。根据 Spur 的调研数据，LG webOS 系统的应用中有 42.5% 内置同类代理 SDK，三星 Tizen 系统的比例也达到 26.5%，用户仅需安装一个小游戏或者工具类应用，家里的电视就会变成永久在线的代理节点。

安卓端 Popa SDK 的隐蔽设计

在较新的 Popa 版本中，SDK 不会直接在代码里硬编码命令与控制服务器地址，而是通过公开云存储动态拉取配置。具体来说，SDK 内置指向 Google Drive 的下载链接，文件内容采用 AES-ECB 算法加密，解密后即可得到中继服务器的真实地址。

这种将配置托管在主流云服务的设计，能大幅提升基础设施的存活率，规避常规的域名封禁手段。设备的注册与入网分为两个步骤。第一步是资格校验，SDK 启动后向初始化接口发起请求，服务端返回结果判断该设备是否符合入网条件，筛选掉不符合要求的设备。

第二步是获取节点列表，通过校验的设备继续调用注册接口，服务端返回可用的中继服务器列表，SDK 随后与中继节点建立连接，开始承担流量转发功能。虽然较新版本的 SDK 确实加入了用户授权弹窗的接口能力，但实际落地中几乎没有开发者会调用这项功能。

Qurium 的静态分析显示，SDK 代码内部确实包含完整的同意对话框组件，但不存在任何从启动流程指向弹窗的调用路径。设备开机后会直接执行注册流程，全程不会向用户告知相关行为。

Windows 端 Neunative SDK

Nokia Deepfield 对 RoboVPN 的逆向分析，完整还原了 Windows 平台 Neunative SDK 的运作细节，其设计的隐蔽性远超安卓版本。RoboVPN 客户端本身具备完整的 VPN 功能，基于 WireGuard 协议实现全局隧道，支持国家节点选择、测速等常规功能。

代理 SDK 以 NuGet 包的形式作为依赖项嵌入，在安装清单里和 JSON 解析库等普通组件没有任何区别，普通用户完全无法从安装信息里识别出来。最具迷惑性的是它的激活逻辑。

SDK 不会在 VPN 连接时运行，恰恰相反，只有当 VPN 断开，或者客户端处于登录后闲置状态时，程序才会调用启动函数激活代理服务，启动前还会加入 30 到 90 分钟的随机延迟。

一旦用户重新连接 VPN，代理服务就会立刻停止。这种设计有明确的目的性。WireGuard 采用全局隧道模式，如果 VPN 连通时代理也运行，出口 IP 会变成 VPN 机房地址，失去住宅代理的价值。

只在 VPN 断开时启动，能确保所有转发流量都从用户真实的住宅 IP 流出，完美匹配商业住宅代理的产品特性。对普通用户来说，短时间抓包测试根本发现不了异常，很容易得出软件干净的结论。

私有中继协议与安全漏洞

Neunative 的原生核心是一个 194KB 的 x64 C++ 二进制文件，包含 598 个函数，依赖系统 Schannel 实现 TLS 加密，没有额外捆绑密码库。整个通信采用自定义的二进制 TLV 协议，也就是类型长度值编码，所有消息都通过 4 字节的类型码区分，共定义了七类核心消息。

注册消息，用于设备接入中继节点
注册响应，返回接入结果
心跳消息，维持连接存活
开隧道指令，携带目标主机名与端口
隧道数据，承载转发的原始流量
关隧道指令，结束指定隧道
断开消息，正常退出连接

每收到一条开隧道指令，SDK 就会启动独立线程，解析目标域名和端口，直接向目标发起连接，然后在中继服务器和目标站点之间双向转发数据。SDK 内置了目的地地址过滤，会拦截私有地址、回环地址、链路本地地址和多播地址，防止第三方访问用户内网。但这份过滤存在明显漏洞，它没有拦截 0.0.0.0/8 网段，也没有任何端口黑名单。在安卓系统中，访问 0.0.0.0 的 5555 端口会直接命中设备自身的 ADB 调试服务，攻击者可以借此直接入侵设备，将代理节点转化为僵尸网络肉鸡。已有观测数据显示，5555 端口是整个 Popa 网络中第三繁忙的出站端口，说明这类攻击已经真实发生。

两级架构的庞大后端基础设施

Qurium 和 Nokia 的调查共同还原了这套后端的完整规模，整个网络采用调度层加中继层的两级架构。最上层是负载均衡域名，作为设备入网的第一入口，以lb.gmslb.net为核心，背后是 10 台部署在 OVH 机房的服务器。设备在这里完成注册，获取地理位置匹配的中继节点列表。下层是中继节点集群，采用编号域名加大量前置域名的模式。

单台中继服务器可以对应viki-play.com、star-layer.com等多达 30 个不同的前置域名，所有域名都托管在 Cloudflare 上，分散在两个账号下，避免单点封禁导致整体失效。域名命名普遍采用类似正规科技产品的复合英文单词，具备很强的迷惑性。通过枚举编号域名可以确认，全网共有约 360 台活跃中继服务器，全部部署在 OVH、GTHost、Hetzner、Linode 等商用数据中心，没有任何一台是住宅节点。

真正的住宅出口，就是所有被植入 SDK 的用户设备。

同一后端的两张面孔：僵尸网络与商业软件

Popa 最早进入公众视野，是作为 Vo1d 僵尸网络的流量转发插件。Vo1d 是针对安卓电视盒子的大规模恶意程序，2024 年首次披露时感染约 130 万台设备，2025 年增长到 160 万台，覆盖全球 226 个国家和地区。这些被感染的设备会下载 Popa 插件，接入住宅代理网络产生收益。而 Neunative 作为商业 SDK，被嵌入正规发布的 RoboVPN 等软件中，走用户主动安装的渠道。

两者虽然分发路径完全不同，最终接入的却是完全相同的后端基础设施。对比两者的技术架构可以发现，除了注册端口和接口路径略有差异，核心的中继协议、消息类型、节点调度逻辑完全一致。Windows 版 Neunative 的编译路径记录也证实，它的构建目录就命名为安卓原生 SDK，说明这是同一套 SDK 的跨平台移植版本。换句话说，一台被病毒感染的山寨电视盒子，和一台用户主动安装了免费 VPN 的家用电脑，会成为同一个代理池里的出口节点，服务于同一批付费客户。后端不会区分设备是怎么加入的，也不会校验用户是否真的知情同意。

溯源链条：从 NinjaTech 到 NetNut

Qurium 的调查沿着域名历史和工商信息逐步追溯，最终指向了知名住宅代理服务商 NetNut 及其母公司 Alarum Technologies。最早的线索来自域名变迁。2025 年 7 月，谷歌联合多家安全厂商打击 Badbox 2.0 僵尸网络，封禁了大批 Popa 的控制域名。但封禁之后很快出现了数十个新的替代域名，其中只有 ninjatech.io 是早已注册的老域名。互联网存档记录显示，ninjatech.io 曾是 NinjaTech 公司的官网，主打带宽变现 SDK 业务，宣称开发者嵌入 SDK 就能靠用户闲置带宽获得收益，无需展示广告。

拉脱维亚工商记录显示，这家名为 NinjaTech SIA 的公司注册于 2020 年 1 月，注册人是 Moshe Yehuda Kramer。公开履历显示，Kramer 是 NetNut 的联合创始人，主导了 NetNut 平台的架构设计与技术搭建，目前在 Alarum Technologies 担任首席战略与创新官兼研发高级副总裁。除此之外还有多重基础设施重叠证据。早期 SDK 使用的 cyberprotector.online、sdk.netnut.io、sdk.ninjatech.io 等域名，在 2021 到 2025 年间长期共用相同的服务器 IP。Synthient 的受控测试也直接验证，运行 Popa SDK 的设备产生的出口流量，会经由 NetNut 的商业网关转发。针对这些关联，Kramer 回应称 NinjaTech 多年前就已停止运营，相关 SDK 代码早已出售授权给第三方，后续的修改再部署都与他和 NetNut 无关。他同时表示自己没有注册 2025 年的那批新域名，也不掌控当前的 Popa 基础设施。

这套代理网络的实际规模远超多数人的认知。Lumen 旗下 Black Lotus Labs 的监测数据显示，Popa 网络日均活跃 IP 在 150 万到 250 万之间，控制节点约 250 到 300 个。Nokia Deepfield 基于 26 个中继节点的采样推算，单台中继同时承载 3.5 万到 6 万客户端，全网总规模可能更高。更值得警惕的是它的行业渗透度。

NetNut 本身就是住宅代理行业的核心服务商，大量下游代理商直接转售 NetNut 的带宽资源，导致 Popa 的出口 IP 会出现在数十个不同的代理服务中，影响力被成倍放大。推动这套网络快速扩张的核心动力，来自 AI 训练带来的海量网页抓取需求。

数据中心 IP 很容易被网站的反爬机制识别拦截，住宅 IP 则天然具备更高的信任度。AI 公司为了获取训练数据，大规模采购住宅代理进行全网内容抓取，催生了旺盛的市场需求，也间接带动了各类灰色 SDK 的泛滥。这类抓取已经造成了实际的公共影响。

2026 年 5 月，独立媒体机构 ARIJ 的网站遭遇大规模抓取攻击，来源 IP 多达 135 万个，遍布 223 个国家和地区，背后正是这套代理网络。大量非营利组织、学术机构和公共知识库都在承受这类流量冲击，频繁出现服务卡顿甚至中断。对企业来说风险同样突出。Infoblox 的监测显示，65% 的企业客户网络中出现过住宅代理相关的域名查询，医药、食品饮料行业的比例超过 90%，政府和金融行业也超过 60%。员工个人设备带入办公网络后，相当于给外部打开了一条通往企业 IP 地址的通道，如果被用于发起攻击，企业会直接面临溯源追责和声誉损失。

NetNut 母公司 Alarum Technologies 发布声明称相关报告包含大量不准确的断言和有缺陷的推论，否认这是僵尸网络。声明表示相关 SDK 的设计目的是实现带宽共享功能，不会破坏设备安全，公司运营合法的商业代理网络，具备完整的 KYC 也就是客户尽调、滥用监控和合规措施。但第三方监测机构 Spur 指出，NetNut 实际并不要求企业资质验证，个人用户仅需邮箱和支付方式就能购买代理服务，下游的白牌代理商审核更是形同虚设，只需加密货币和临时邮箱就能获得访问权限。所有研究团队都明确了分析的边界。现有证据基于样本逆向工程、网络遥测和公开记录，无法直接证明 NetNut 官方直接运营这套 SDK 植入网络，也不能排除下游代理商、第三方开发者违规部署的可能性。基础设施和流量层面的关联是可复现的事实，而具体的商业关系和主观意图，目前无法得出绝对结论。

Windows 用户可以检查注册表 HKCU\Software\Neunative 项，以及 AppData 目录下的 NeuNative.log 等日志文件，判断是否被植入 SDK

企业与机构防护在网络边界拦截已知的 Popa 与 Neunative 调度域名和中继 IP，阻断设备入网通道，加强对出口方向 6000 端口 TLS 流量的监控，识别异常的中继连接

#

Popa 与 Neunative 生态的完整曝光，将住宅代理行业长期存在的灰色地带彻底摆到了台面上。从被病毒感染的电视盒子，到用户主动安装的免费软件，数百万台设备在所有者毫不知情的情况下成为商业代理网络的一部分，消耗着用户的带宽和电力，还可能带来设备被入侵、身份被冒用的安全风险。随着 AI 数据采集需求持续增长，住宅代理的市场规模还会继续扩大，类似的灰色 SDK 也会找到更多植入渠道。