Son dört yıldır, Popa adı verilen geniş çaplı bir Android tabanlı botnet, milyonlarca tüketici TV kutusunu zorla internet trafiğini yönlendirmek için kullanıyor. Bu trafik, reklam dolandırıcılığı, hesap ele geçirme ve büyük ölçekli veri sıyırma faaliyetleriyle ilişkilendiriliyor. Bu hafta, birden fazla güvenlik firmasından araştırmacılar, Popa botnetinin, halka açık İsrail şirketi Alarum Technologies Ltd [NASDAQ: ALAR] tarafından işletilen bir 'rezidansiyel proxy' sağlayıcısı olan NetNut ile bağlantılı olduğu sonucuna vardı.
Popa, geleneksel botnetlerden farklı olarak, yıkıcı DDoS saldırıları gibi faaliyetler için değil, cihazları kaydetme, uzun süreli şifreli bağlantıları sürdürme ve talep üzerine iletişim tünelleri açma amacıyla tasarlanmış kalıcı bir iletişim katmanı oluşturmak için kullanılıyor. Uzmanlar, Popa'nın, resmi olmayan Android tabanlı TV kutularını hedef alan büyük ölçekli bir kötü amaçlı yazılım kampanyası olan Vo1d botnetiyle ilişkili bir eklenti bileşeni olduğunu söylüyor.
Popa'nın kökenine dair ilk ipuçları, 2025 yılında Çinli güvenlik şirketi XLAB'ın bir raporunda ortaya çıktı. Rapor, ele geçirilen cihazların faaliyetlerini kaydetmek ve yönlendirmek için kullanılan en az dokuz alan adını işaret ediyordu. Güvenlik firması Qurium, Mayıs 2026'da şirketin barındırdığı kuruluşları hedef alan bir dizi yıkıcı veri sıyırma olayını araştırırken aynı alan adlarından bazılarına rastladı. Bu sıyırma faaliyeti, 1,4 milyondan fazla IP adresine eşit şekilde dağılmıştı.
Önemli Gelişmeler
Qurium, Popa'yı kontrol etmek için kullanılan düzinelerce alan adı buldu ve bunların zaman içinde birden fazla IP adresinde aynı anda barındırıldığını tespit etti. Bu alan adları arasında gmslb[.]net, safernetwork[.]io, tera-home[.]com ve ninjatech[.]io da vardı. Araştırmalar, ninjatech[.]io'nun NetNut'ta AR-GE başkan yardımcısı olarak çalışan Moishi Kramer tarafından kurulan Ninjatech şirketine ait olduğunu gösterdi. Kramer, Popa SDK'sını sattığını ancak mevcut altyapıyı işletmediğini iddia etse de, proxy takip şirketi Synthient, Popa SDK'sının NetNut ile trafik paylaştığını kanıtladı. Alarum Technologies ise suçlamaları reddederek SDK'ların botnet değil, bant genişliği paylaşım işlevi gördüğünü savundu.