Google, FBI ve uluslararası iş birliğiyle yürütülen ortak bir operasyon, residential proxy ekosistemine ağır bir darbe indirdi. Operasyon kapsamında, NetNut (Popa olarak da bilinen) botneti büyük ölçüde çökertildi. NetNut, milyonlarca ele geçirilmiş tüketici cihazından oluşan bir proxy ağıydı. Kendisini 'yüksek kaliteli residential proxy sağlayıcısı' olarak pazarlayan bu kötü niyetli hizmet, 'gerçek' ev IP adreslerine erişim satarak web verisi toplama gibi masum görünen kullanım senaryoları sunuyordu. Ancak arka planda, bu IP'ler siber suç faaliyetlerini gizlemek için kullanılıyordu.
FBI'ın tanımına göre, residential proxy, bireyler ve ziyaret ettikleri web siteleri arasında bir aracı sunucu görevi görerek bağlantıların başka bir yerden geliyormuş gibi görünmesini sağlar. Meşru IP adresleri, İnternet Servis Sağlayıcıları (ISS) tarafından tüketicilerin akıllı TV, dijital fotoğraf çerçevesi, akıllı telefon, tablet ve yönlendirici gibi Nesnelerin İnterneti (IoT) cihazlarına atanır. Bir cihaz ele geçirildiğinde, IP adresi kötü niyetli kişilerce çevrimiçi yasa dışı faaliyetlerini gizlemek için kullanılabilir ve bu durum masum kullanıcıyı sorumlu gibi gösterebilir.
NetNut ağına cihaz eklemenin en yaygın yöntemi, kullanıcıları 'bant genişliği paylaşma' veya 'kullanılmayan interneti paylaşma' vaadiyle ödeme sunan uygulamaları yüklemeye ikna etmekti. Bu uygulamalar, gerçek riskleri ince yazılarda gizliyor veya anlamlı bir onay almadan izin istiyordu. Daha az yaygın olarak, cihazlar gri piyasa tedarik zincirleri aracılığıyla önceden ele geçirilmiş olarak satılıyor ve kötü amaçlı ürün yazılımı veya yandan yüklenmiş uygulamalarla birlikte geliyordu. Bir kez ağa dahil olan bu cihazlar, parola püskürtme saldırıları, hesap ele geçirme girişimleri, reklam dolandırıcılığı ve hatta Mirai varyantı DDoS saldırıları için kullanılabiliyordu.
Operasyon üç ana kola odaklandı: NetNut'un komuta ve kontrol (C2) için kullandığı Google hesaplarının devre dışı bırakılması, NetNut'un SDK'ları ve altyapısına ilişkin ayrıntılı göstergelerin platformlar ve kolluk kuvvetleriyle paylaşılması ve Google Play Protect kullanılarak kullanıcıların uyarılması ve NetNut kodu içeren uygulamaların otomatik olarak devre dışı bırakılması. Bu adımlar, NetNut botnetini önemli ölçüde sekteye uğrattı ve proxy operatörü için milyonlarca cihazı kullanılamaz hale getirdi.
Peki, sıradan bir kullanıcı cihazının NetNut botnetinin bir parçası olduğunu nasıl anlayabilir? Genellikle herhangi bir belirti fark edilmese de, yavaş performans, düşük internet hızı, hızlı pil tükenmesi ve cihazda ekstra aşınma gibi sorunlar yaşanabilir. Bu operasyonun ardından botnet operatörleri yeni cihazları ele geçirerek ağlarını yeniden inşa etmeye çalışacak veya başka bir botnet devreye girecektir. Bu nedenle dikkatli olmak büyük önem taşıyor.
Botnetlerden korunmak için bazı temel ipuçları: Kullanılmayan bant genişliğiniz için ödeme vaat eden uygulamalara karşı son derece dikkatli olun. Uygulamaları yalnızca resmi uygulama mağazalarından indirin. Cihazlarınızdaki VPN ve proxy izinlerini kontrol edin. Bağlı cihazlar için güvenilir, Play Protect onaylı satıcıları tercih edin. Uygun cihazlarda güncel, gerçek zamanlı bir kötü amaçlı yazılım koruma çözümü kullanın. Malwarebytes, netnut.com'u engelliyor ve kullanıcıları kimlik avı, dolandırıcılık mesajları ve kötü niyetli sitelerden koruyor. iOS ve Android için Malwarebytes Mobile Security ile gerçek zamanlı AI destekli Scam Guard özelliğinden yararlanabilirsiniz.
Kaynak: malwarebytes.com