Dört yıldır faaliyet gösteren Popa adlı Android tabanlı botnet, milyonlarca tüketici TV kutusunu ele geçirerek internet trafiğini reklam dolandırıcılığı, hesap ele geçirme ve kitlesel veri kazıma gibi kötü amaçlı faaliyetler için kullanıyor. Bu hafta, birden fazla güvenlik firmasından araştırmacılar, Popa botnet’inin, halka açık İsrail firması Alarum Technologies Ltd [NASDAQ: ALAR] tarafından işletilen bir 'residential proxy' sağlayıcısı olan NetNut ile bağlantılı olduğu sonucuna vardı.
Popa, devasa bir botnet olmasına rağmen, geleneksel botnet’lerden farklı olarak DDoS saldırıları gibi yıkıcı faaliyetler için değil, cihazları kaydedebilen, uzun ömürlü şifreli bağlantıları sürdürebilen ve talep üzerine iletişim tünelleri açabilen kalıcı bir iletişim katmanı oluşturmak için tasarlanmış. Uzmanlar, Popa’nın, resmi olmayan Android TV kutularını hedef alan büyük ölçekli bir kötü amaçlı yazılım kampanyası olan Vo1d botnet’i ile ilişkili bir eklenti bileşeni olduğunu söylüyor.
Bu cihazlar, binlerce marka ve model numarası altında pazarlanıyor ve popüler e-ticaret sitelerinde yaygın olarak satılıyor. Tek seferlik bir ücret karşılığında yüzlerce abonelik video hizmetini yayınlama vaadiyle satılan bu kutular, FBI ve güvenlik uzmanlarının defalarca uyardığı gibi, kullanıcının TV'sini bir 'residential proxy'ye dönüştüren yazılımlarla birlikte geliyor. Bu sayede herhangi bir kişi, cihaz prize takılı ve ağa bağlı olduğu sürece internet trafiğini bu cihaz üzerinden yönlendirebiliyor. Daha da endişe verici olanı, bu proxy ağlarının bazılarının, kötü niyetli müşterilerin, habersiz cihaz sahibinin yerel ağındaki sistemlerle iletişim kurmasını ve hatta bu sistemleri tehlikeye atmasını engellemek için çok az şey yapması.
Sonuç ve Değerlendirme
Popa’nın kökenine dair ilk ipuçları, Çinli güvenlik şirketi XLAB’ın 2025 tarihli bir raporunda ortaya çıktı. Raporda, ele geçirilen cihazların faaliyetlerini kaydetmek ve yönlendirmek için kullanılan en az dokuz alan adı tespit edildi. Güvenlik firması Qurium, Mayıs 2026’da, barındırdığı kuruluşları hedef alan ve 1,4 milyondan fazla IP adresine yayılan bir dizi yıkıcı ve maliyetli veri kazıma olayını araştırırken aynı alan adlarından bazılarına rastladığını bildirdi.
Qurium, Popa’yı kontrol etmek için kullanılan ve gmslb[.]net, safernetwork[.]io, tera-home[.]com ve ninjatech[.]io gibi alan adlarını içeren birkaç düzine alan adı buldu. Derinlemesine araştırmada, gmslb[.]net alan adının CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob ve HD/OceanStreams gibi düzinelerce korsan veya modifiye edilmiş video akış uygulamasında referans alındığı keşfedildi. Qurium’un raporu, Popa botnet’ini kontrol etmek için uzun süredir kullanılan alan adlarının çoğunun, Google, HUMAN Security ve Trend Micro’nun Vo1d ile yakından ilişkili Badbox 2.0 botnet’ini çökertmek için iş birliği yapmasının ardından Temmuz 2025’te ele geçirildiğini veya dağıtıldığını belirtiyor.
Araştırmalar, Popa botnet’i ile NetNut arasındaki bağlantıyı daha da güçlendiriyor. Ninjatech alan adının, LinkedIn profiline göre NetNut’ta araştırma ve geliştirme başkan yardımcısı olan Moishi Kramer tarafından kurulduğu tespit edildi. Kramer, Ninjatech’in yaklaşık beş yıl önce faaliyetlerini durdurduğunu ve Popa adlı bir yazılım geliştirme kitini (SDK) sattığını, ancak bu kodun üçüncü taraflara satıldığını ve artık kendisinin kontrol etmediğini iddia etti. Ancak proxy takip şirketi Synthient, Popa SDK’sının giden trafiğinin NetNut ile açıkça ilişkili olduğunu belirterek, 'Araştırma ekibi, Popa çalıştıran cihazların NetNut müşterilerinden gelen trafiği yönlendirdiğini yüksek güvenle değerlendiriyor' dedi. Alarum Technologies ise iddiaları reddederek, söz konusu SDK'ların bir botnet olarak nitelendirilmesini kabul etmediklerini ve NetNut'un uygun izin ve bildirim mekanizmalarına önem verdiğini savundu.
Kaynak: krebsonsecurity.com