Popa Botneti: İsrail Merkezli NetNut ile Bağlantılı Dev Android TV Kutusu Bot Ağı Yazılım

Popa Botneti: İsrail Merkezli NetNut ile Bağlantılı Dev Android TV Kutusu Bot Ağı

Popa botneti, dört yıldır milyonlarca Android TV kutusunu ele geçirerek reklam dolandırıcılığı, hesap hırsızlığı ve veri toplama faaliyetlerinde kulla

Son dört yıldır faaliyet gösteren Popa adlı dev bir Android tabanlı botnet, milyonlarca tüketici TV kutusunu ele geçirerek internet trafiğini reklam dolandırıcılığı, hesap ele geçirme ve büyük ölçekli veri toplama operasyonlarına yönlendiriyor. Bu hafta birden fazla güvenlik firmasından araştırmacılar, Popa botnetinin, halka açık İsrail merkezli Alarum Technologies Ltd (NASDAQ: ALAR) tarafından işletilen bir 'konut proxy' sağlayıcısı olan NetNut ile bağlantılı olduğu sonucuna vardı.

Popa, geleneksel botnetlerden farklı olarak yıkıcı DDoS saldırıları düzenlemek yerine, cihazları kaydetme, uzun ömürlü şifreli bağlantılar kurma ve talep üzerine iletişim tünelleri açma yeteneğine sahip bir eklenti bileşeni olarak tasarlanmış. Uzmanlar, Popa'nın Vo1d botnetiyle ilişkili olduğunu ve resmi olmayan Android TV kutularını hedef alan geniş çaplı bir kötü amaçlı yazılım kampanyasının parçası olduğunu belirtiyor. Bu TV kutuları, binlerce marka ve model altında satılıyor ve yüzlerce abonelik video hizmetini tek seferlik bir ücret karşılığında yayınlama vaadiyle popüler e-ticaret sitelerinde bulunabiliyor.

Ancak FBI ve güvenlik endüstrisi uzmanlarının defalarca uyardığı gibi, bu yayın kutuları genellikle kullanıcının televizyonunu bir 'konut proxy'ye dönüştüren yazılımlarla birlikte gelir. Bu sayede herkes, cihaz fişe takılı kaldığı ve yerel ağa bağlı olduğu sürece internet trafiğini bu cihaz üzerinden yönlendirebilir. Daha endişe verici olan ise, bu proxy ağlarının bazılarının, kötü niyetli müşterilerin şüphelenmeyen cihaz sahibinin yerel ağındaki sistemlerle iletişim kurmasını ve hatta bu sistemleri tehlikeye atmasını engelleyecek önlemleri almaması.

Popa'nın kökenine dair ilk ipuçları, 2025 yılında Çinli güvenlik şirketi XLAB tarafından yayınlanan bir raporda ortaya çıktı. Raporda, ele geçirilen cihazların faaliyetlerini kaydetmek ve yönlendirmek için kullanılan en az dokuz alan adı tespit edildi. Bugün yayınlanan bir raporda ise güvenlik firması Qurium, Mayıs 2026'da barındırdığı kuruluşları hedef alan ve 1,4 milyondan fazla IP adresine yayılan yıkıcı veri toplama olaylarını araştırırken aynı alan adlarından bazılarına rastladığını açıkladı.

Sistem Güvenliği

Qurium, Popa'yı kontrol etmek için kullanılan ve gmslb[.]net, safernetwork[.]io, tera-home[.]com ve ninjatech[.]io gibi alan adlarının zaman içinde birden fazla IP adresinde eşzamanlı olarak barındırıldığını tespit etti. Daha derinlemesine araştırmada, gmslb[.]net'in CRICFy, DooFlix, Sprozfy gibi yüzlerce korsan veya modifiye edilmiş video akış uygulamasında referans olarak kullanıldığı ortaya çıktı. Ayrıca, Popa botnetini kontrol eden alan adlarının çoğunun, Google, HUMAN Security ve Trend Micro'nun Vo1d ile yakından ilişkili Badbox 2.0 botnetini dağıtmak için işbirliği yapmasının ardından Temmuz 2025'te ele geçirildiği veya dağıtıldığı belirtildi.

Qurium, bu müdahalenin hemen ardından Popa botneti için yeni kontrol alan adları kaydedildiğini, ancak bunlardan birinin (ninjatech[.]io) yeni olmadığını tespit etti. Ninjatech, LinkedIn profiline göre NetNut'ta araştırma ve geliştirme başkan yardımcısı olan Moishi Kramer tarafından kurulmuş bir şirket. Kramer, e-posta yoluyla yaptığı açıklamada Ninjatech'in yaklaşık beş yıl önce faaliyetlerini durdurduğunu ve Popa adlı bir yazılım geliştirme kitini (SDK) sattığını, bu SDK'nın cihazın bant genişliğinin küçük bir kısmını kullanmak üzere tasarlandığını ve yalnızca ana uygulama kullanıcı onayı aldıktan sonra çalıştığını iddia etti. Ancak proxy takip şirketi Synthient, Popa SDK'sının NetNut ile ilişkili olduğunu kanıtlayan bir rapor yayınladı.

NetNut'un Tel Aviv merkezli ana şirketi Alarum Technologies, Synthient ve Qurium raporlarının 'kanıtlanabilir şekilde yanlış iddialar ve kusurlu çıkarımlar' içerdiğini belirterek raporları reddetti. Alarum, SDK'ların bir 'botnet' olarak nitelendirilmesini reddederek, bu teknolojilerin bant genişliği paylaşım işlevi için tasarlandığını ve kullanıcı cihazlarını kötü amaçlı yazılım kontrollü sistemlere dönüştürmediğini savundu. NetNut'un ticari bir proxy ağı işlettiğini ve hizmetlerinin yasal ve sorumlu kullanımını teşvik etmek için politikalar, prosedürler ve teknolojik önlemler uyguladığını ekledi.

Uzmanların Görüşleri

Bu gelişmeler, tüketicilerin bilinçsizce kullandıkları cihazların birer siber suç aracına dönüşebileceğini bir kez daha gösteriyor. Özellikle ucuz ve lisanssız Android TV kutuları, kullanıcıların ev ağlarını tehlikeye atarak hem bireysel gizliliği ihlal ediyor hem de büyük ölçekli dolandırıcılık faaliyetlerine zemin hazırlıyor. Kullanıcıların, bilinmeyen kaynaklardan satın aldıkları cihazlarda güvenlik güncellemelerini takip etmeleri, gereksiz uygulamaları kaldırmaları ve ağ trafiğini izlemeleri kritik önem taşıyor. Ayrıca, bu tür botnetlerin tespit edilmesi ve engellenmesi için uluslararası işbirliğinin artırılması gerekiyor. Popa botneti, siber suçluların basit tüketici cihazlarını nasıl karmaşık bir altyapıya dönüştürebildiğinin çarpıcı bir örneği.

Kaynak: krebsonsecurity.com

Paylaş: