Din telefon eller router kan ha varit en av 17 miljoner enheter som hyrdes ut i hemlighet

Ett botnät avslöjar sig inte alltid genom att sega ner telefonen eller fylla skärmen med popup-rutor. Nätverket som nederländsk polis just slagit ut gjorde nästan ingenting som en vanlig ägare skulle märka. Det lånade i tysthet en liten del av mer än 17 miljoner enheter, däribland datorer, smarttelefoner, surfplattor, hemroutrar och uppkopplade prylar, och hyrde ut deras anslutningar till främlingar. Var en av de enheterna din kan någon du aldrig kommer att möta ha surfat, skrapat data eller attackerat webbplatser via din hemmaledning i månader.

Nederländernas nationella polis och landets nationella cybersäkerhetscentrum stoppade verksamheten efter att ha beslagtagit omkring 200 servrar hos en webbhotellsleverantör inom Nederländerna. Utredarna beskriver nätverket som en residential proxy-tjänst, ett system som leder andras trafik genom riktiga konsumentenheter så att den ser ut som vanligt surfande från ett hem. Den förklädnaden är hela produkten. Trafik som ser ut att komma från en äkta hemadress glider förbi de bedrägerifilter som direkt skulle blockera en känd datacenterserver, och det är precis därför residential-proxyer är eftertraktade av annonsörer, dataskrapare och brottslingar i lika hög grad.

Nederländska uppgifter har kopplat infrastrukturen till ASOCKS, ett företag med säte i Ryssland som kommersiellt säljer tillgång till residential- och mobilproxyer. På ytan ser ASOCKS ut som en helt vanlig prenumerationstjänst. Problemet är var dess hemanslutningar kommer ifrån. Säkerhetsforskare har i åratal varnat för att en stor del av de enheter som matar sådana nät aldrig anslöts medvetet, och att ägarna inte hade en aning om att deras bandbredd var till salu.

Enheterna värvades på några olika sätt, och nästan alla handlar om felplacerad tillit till gratisprogram. En del installerade en gratisapp, ett bakgrundsbildsverktyg, ett telefonverktyg eller en inofficiell VPN, som i bakgrunden tyst följde med en proxymjukvara. På Android anmälde ett kodbibliotek vid namn PROXYLIB, gömt i ett utvecklingskit som apptillverkare la in i sina produkter, telefoner som proxynoder utan att fråga. Andra maskiner infekterades med skadlig kod som installerade samma funktion direkt. I samtliga fall fortsatte enheten att fungera normalt medan dess anslutning jobbade åt någon annan.

När en enhet väl var med i poolen kunde dess anslutning användas till nästan allt som tjänar på att se ut som en oskyldig hemanvändare. Nederländska myndigheter säger att nätet matade nätfiskekampanjer, skräppost, överbelastningsattacker som slår ut nättjänster, brute force- och credential stuffing-inloggningsförsök, klickbedrägeri och SMS-pumpning som i tysthet tömmer pengar via betalnummer. En enda kapad router åstadkommer inte mycket på egen hand. Sjutton miljoner, samlade, blir allvarlig infrastruktur.

Tillslaget är verkligt, men det är ingen bot. Polisen säkrade servrarna som styrde nätverket, men ASOCKS webbplats gick fortfarande att nå efteråt, och hur mycket av den underliggande verksamheten som faktiskt slogs ut är oklart. Att stänga av kommandoservrarna rensar inte automatiskt de 17 miljoner enheterna, eftersom medföljande proxykod och skadlig kod kan ligga orörd i en telefon eller router tills en ny operatör plockar upp dem. Dessutom är missbruk av residential-proxyer en marknad, inte ett enskilt företag. Slår man ut ett nät vandrar efterfrågan vidare till nästa, eftersom den legitima hungern efter riktiga adresser, från annonsverifieringsföretag till AI-bolag som skrapar webben, håller modellen lönsam.

Som jämförelse placerar 17 miljoner enheter detta bland de största proxynät som någonsin stängts ner, långt större än många av de skadeprogramsbotnät som hamnar i rubrikerna för att ha spridit ett enda virus. Till skillnad från en utpressningsinfektion finns dock sällan något tydligt symtom. Ledtrådarna brukar vara vardagliga: en router som går varm eller startar om utan anledning, ett hemabonnemang som ständigt slår i datataket, en telefon vars batteri- och dataförbrukning inte stämmer med hur du faktiskt använder den, eller webbplatser som gång på gång ber dig lösa captcha eftersom de tycker att din adress ser misstänkt ut.

Eftersom de smittade enheterna var spridda över hela världen och inte samlade i ett enda land är risken inte regional. Vem som helst med en åldrande router eller en billig Android-telefon full av gratisverktyg kan ha dragits med. De praktiska försvaren är glanslösa och välbekanta: håll routrar och telefoner uppdaterade, radera gratisappar du inte verkligen använder, håll dig borta från program hämtade utanför de officiella butikerna och inofficiella VPN-tjänster som lovar något för ingenting, och starta om en router som gått orörd i åratal.

Fallet började när en säkerhetsforskare flaggade misstänkt proxyaktivitet för cybersäkerhetscentret, och nederländska myndigheter har antytt att analysen av de beslagtagna servrarna fortsätter, hittills utan några anmälda gripanden. Vad det gör tydligt är att enhetsekonomin numera rymmer en svart marknad för din bandbredd. Nästa gång en app är gratis kan produkten som säljs vara internetuppkopplingen du redan betalar för.