Popa Botneti İsrail'li Şirket NetNut ile Bağlantılı Çıktı: Android TV Kutuları Tehdit Altında Yazılım

Popa Botneti İsrail'li Şirket NetNut ile Bağlantılı Çıktı: Android TV Kutuları Tehdit Altında

Popa botneti, milyonlarca Android TV kutusunu ele geçirerek reklam dolandırıcılığı ve veri hırsızlığı yapıyor. Araştırmalar, botnetin NetNut ile bağla

Dört yıldır faaliyet gösteren Popa adlı devasa bir Android botneti, milyonlarca tüketici televizyon kutusunu ele geçirerek reklam dolandırıcılığı, hesap ele geçirme ve kitlesel veri kazıma gibi kötü amaçlı trafiği yönlendiriyor. Bu hafta birden fazla güvenlik firmasından araştırmacılar, Popa botnetinin, halka açık İsrail merkezli Alarum Technologies Ltd.'ye (NASDAQ: ALAR) ait olan NetNut adlı 'rezidansiyel proxy' sağlayıcısıyla bağlantılı olduğu sonucuna vardı.

Popa, geleneksel botnetlerden farklı olarak yıkıcı faaliyetler için değil, cihazları kaydedebilen, uzun ömürlü şifreli bağlantıları sürdürebilen ve talep üzerine iletişim tünelleri açabilen kalıcı bir iletişim katmanı oluşturmak üzere tasarlanmış. Uzmanlar, Popa'nın Vo1d botnetiyle ilişkili bir eklenti bileşeni olduğunu belirtiyor. Vo1d, resmi olmayan Android TV kutularını hedef alan büyük ölçekli bir kötü amaçlı yazılım kampanyası.

Bu TV kutuları, binlerce marka ve model altında satılıyor ve genellikle yüzlerce abonelik video hizmetini tek seferlik ücret karşılığında izleme vaadiyle pazarlanıyor. Ancak FBI ve güvenlik uzmanlarının uyardığı gibi, bu kutular kullanıcının televizyonunu bir 'rezidansiyel proxy'ye dönüştüren yazılımlarla önceden yüklenmiş olarak geliyor. Bu sayede herkes, cihaz fişe takılı ve ağa bağlı olduğu sürece internet trafiğini bu cihaz üzerinden yönlendirebiliyor. Daha da endişe verici olanı, bu proxy ağlarının kötü niyetli müşterilerin cihaz sahibinin yerel ağıyla iletişim kurmasını ve hatta bu ağdaki sistemleri tehlikeye atmasını engellemek için çok az şey yapması.

Detaylar ve Etkileri

Popa'nın kökenine dair ilk ipuçları, 2025 yılında Çinli güvenlik şirketi XLAB tarafından yayınlanan bir raporda ortaya çıktı. Raporda, ele geçirilen cihazları kaydetmek ve yönlendirmek için kullanılan en az dokuz alan adı tespit edildi. Bugün yayınlanan bir raporda ise güvenlik firması Qurium, Mayıs 2026'da şirketin barındırdığı kuruluşları hedef alan ve 1,4 milyondan fazla IP adresine eşit olarak dağıtılan bir dizi yıkıcı ve pahalı veri kazıma olayını araştırırken aynı alan adlarından bazılarına rastladığını açıkladı.

Sonuç ve Değerlendirme

Qurium, Popa'yı kontrol etmek için kullanılan ve zaman içinde birden fazla IP adresinde aynı anda barındırılan birkaç düzine alan adı buldu. Bunlar arasında gmslb[.]net, safernetwork[.]io, tera-home[.]com ve ninjatech[.]io da yer alıyor. Daha derin bir incelemede, gmslb[.]net alan adının CRICFy, DooFlix, Sprozfy gibi düzinelerce korsan veya modifiye edilmiş video akış uygulamasında referans alındığı tespit edildi. Qurium'un raporu, Popa botnetini kontrol etmek için uzun süredir kullanılan alan adlarının çoğunun, Google, HUMAN Security ve Trend Micro'nun Vo1d ile yakından ilişkili Badbox 2.0 botnetini bozguna uğratmak için işbirliği yapmasının ardından Temmuz 2025'te ele geçirildiğini veya devre dışı bırakıldığını belirtiyor.

Qurium, bu müdahalenin hemen ardından Popa botneti için kontrolör görevi görecek birkaç düzine yeni alan adı kaydedildiğini, ancak bu kontrol alanlarından birinin yeni olmadığını tespit etti: ninjatech[.]io. Ninjatech, LinkedIn profiline göre NetNut'ta araştırma ve geliştirmeden sorumlu başkan yardımcısı olan Moishi Kramer tarafından kurulmuş bir şirket. Kramer'in özgeçmişi, şirketin Alarum Technologies tarafından satın alınmasından önce NetNut'u 'sıfırdan' kurmasına, 'mimariyi tasarlamasına' ve 'ölçeklendirmesine' yardımcı olduğunu belirtiyor. E-posta yoluyla yanıt veren Kramer, Ninjatech'in yaklaşık beş yıl önce faaliyetlerini durdurduğunu ve Popa adlı bir yazılım geliştirme kitini (SDK) sattığını söyledi. Kramer, 'Bu kod yıllar önce üçüncü taraflara satıldı ve lisanslandı. Yazılım bu şekilde dağıtıldığında, orijinal geliştiricinin başkalarının onu daha sonra nasıl değiştireceği, yeniden markalaştıracağı veya dağıtacağı üzerinde hiçbir kontrolü yoktur' dedi.

Ancak proxy takip şirketi Synthient tarafından bugün yayınlanan ayrı bir Popa araştırma raporu, Popa SDK'sının son analizinin NetNut ile açıkça ilişkili giden trafiği ortaya çıkardığını belirtiyor. Synthient, 'Araştırma ekibi, Popa çalıştıran cihazların NetNut müşterilerinden gelen trafiği ilettiğini yüksek güvenle değerlendiriyor. Bu, Popa'nın NetNut tarafından proxy havuzlarının bir parçası olarak aktif olarak kullanılmaya devam ettiğini şüpheye yer bırakmayacak şekilde kanıtlıyor' ifadelerini kullandı. NetNut'un Tel Aviv merkezli ana şirketi Alarum Technologies ise Synthient ve Qurium'un raporlarının 'kanıtlanabilir şekilde yanlış iddialar ve kusurlu çıkarımlar içerdiğini' söyledi. Alarum, söz konusu SDK'ların ve teknolojilerin bir 'botnet' olarak nitelendirilmesini reddederek, 'Söz konusu SDK'lar, bant genişliği paylaşım işlevselliğini kolaylaştırmak için tasarlanmıştır ve kullanıcı cihazlarını kötü amaçlı yazılım kontrollü sistemlere dönüştürmez veya üzerinde çalıştıkları cihazları tehlikeye atmaz' açıklamasını yaptı.

Kaynak: krebsonsecurity.com

Paylaş: