Dört yıldır faaliyet gösteren Popa adlı devasa bir Android botneti, milyonlarca tüketici TV kutusunu reklam dolandırıcılığı, hesap ele geçirme ve kitlesel veri toplama amaçlı internet trafiğini yönlendirmeye zorluyor. Bu hafta birden fazla güvenlik firmasından araştırmacılar, Popa botnetinin NetNut ile bağlantılı olduğu sonucuna vardı. NetNut, halka açık İsrail firması Alarum Technologies Ltd [NASDAQ: ALAR] tarafından işletilen bir 'konut proxy' sağlayıcısı.
Popa, geleneksel botnetlerden farklı olarak yıkıcı faaliyetler (örneğin büyük DDoS saldırıları) için değil, belirli bir amaç için tasarlanmış: Bir cihazı kaydedebilen, uzun ömürlü şifreli bağlantıları sürdürebilen ve talep üzerine iletişim tünelleri açabilen kalıcı bir iletişim katmanı uygulamak. Uzmanlar, Popa'nın Vo1d botneti ile ilişkili bir eklenti bileşeni olduğunu söylüyor. Vo1d, resmi olmayan Android tabanlı TV kutularını hedef alan büyük ölçekli bir kötü amaçlı yazılım kampanyası.
Bu TV kutuları, binlerce marka ve model numarası altında pazarlanmakta ve büyük e-ticaret sitelerinde yaygın olarak satılmaktadır. Hepsi, tek seferlik bir ücret karşılığında yüzlerce abonelik video hizmetini yayınlama yeteneği vaat ediyor. Ancak FBI ve güvenlik uzmanlarının defalarca uyardığı gibi, bu yayın kutuları genellikle kullanıcının TV'sini bir 'konut proxy'sine dönüştüren yazılımlarla birlikte gelir veya önceden yüklenmiş olarak gelir. Bu sayede herkes, cihaz bir duvar prizine takılı ve bir yerel ağa bağlı olduğu sürece internet trafiğini bu cihaz üzerinden yönlendirebilir. Daha da endişe verici olanı, bu proxy ağlarının bazıları, kötü niyetli müşterilerin şüphelenmeyen cihaz sahibinin yerel ağındaki sistemlerle iletişim kurmasını ve hatta bu sistemleri tehlikeye atmasını engellemek için çok az şey yapıyor.
Popa'nın kökenine dair ilk ipuçları, Çinli güvenlik şirketi XLAB'ın 2025 tarihli bir raporunda geldi. Raporda, ele geçirilen cihazları kaydetmek ve yönlendirmek için kullanılan en az dokuz alan adı tespit edildi. Bugün yayınlanan bir raporda, güvenlik firması Qurium, Mayıs 2026'da şirketin barındırdığı kuruluşları hedef alan bir dizi yıkıcı ve pahalı veri kazıma olayını araştırırken aynı alan adlarından bazılarına nasıl rastladığını anlattı. Bu kazıma faaliyeti, 1,4 milyondan fazla internet adresine eşit olarak dağıtılmıştı.
Qurium, Popa'yı kontrol etmek için kullanılan ve gmslb[.]net, safernetwork[.]io, tera-home[.]com ve ninjatech[.]io dahil olmak üzere birden fazla internet adresinde zamanla aynı anda barındırılan birkaç düzine alan adı buldu. Daha derine inen Qurium, gmslb[.]net'in CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob ve HD/OceanStreams gibi düzinelerce korsan veya modlanmış video akış uygulamasında referans verildiğini keşfetti. Qurium'un raporu, Popa botnetini kontrol etmek için uzun süredir kullanılan alan adlarının çoğunun, Google, HUMAN Security ve Trend Micro'nun Vo1d ile yakından ilişkili bir botnet olan Badbox 2.0'ı bozmak için bir araya gelmesinin ardından Temmuz 2025'te ele geçirildiğini veya söküldüğünü belirtiyor. Qurium, bu kesintinin hemen ardından Popa botneti için denetleyici görevi görecek birkaç düzine yeni alan adının kaydedildiğini, ancak bu kontrol alan adlarından birinin yeni olmadığını söylüyor: ninjatech[.]io.
Sistem Güvenliği
Ninjatech, LinkedIn profiline göre NetNut'ta araştırma ve geliştirme başkan yardımcısı olan Moishi Kramer tarafından kuruldu. Bu özgeçmiş, Kramer'in NetNut'un 'sıfırdan' kurulmasına, 'mimarisini tasarlamasına' ve şirket Alarum Technologies tarafından satın alınmadan önce 'NetNut'u ölçeklendirmesine' yardımcı olduğunu belirtiyor. İş panosu F6S'de kendi kendine oluşturulan bir liste, Kramer'i Ninjatech alan adının tek sahibi olarak gösteriyor. E-posta yoluyla yanıt veren Kramer, Ninjatech'in yaklaşık beş yıl önce faaliyetlerini durdurduğunu ve Popa adlı bir yazılım geliştirme kiti (SDK) sattığını söyledi. Bu SDK, bir cihazın bant genişliğinin küçük bir kısmını kullanmak ve yalnızca ana uygulama kullanıcı iznini aldıktan sonra çalışmak üzere tasarlanmıştı. Kramer, 'Bu kod yıllar önce yeniden satıcılar da dahil olmak üzere üçüncü taraflara satıldı ve lisanslandı. Yazılım bu şekilde dağıtıldığında, orijinal geliştiricinin başkalarının daha sonra onu nasıl değiştireceği, yeniden markalayacağı veya dağıtacağı üzerinde hiçbir kontrolü yoktur' dedi. Kramer, ne kendisinin ne de NetNut'un Popa olarak tanımlanan altyapıyı inşa etmediğini, işletmediğini veya sürdürmediğini ve Ninjatech alan adını kontrol etmediğini söyledi. 'Bahsettiğiniz Haziran 2025 alan adlarını ben kaydetmedim ve kimin kaydettiğini de bilmiyorum. Bu altyapı üzerinde hiçbir kontrolüm veya görünürlüğüm yok. Size sadece benim veya NetNut tarafından işletilmediğini söyleyebilirim' diye ekledi.
Ancak bugün yayınlanan ayrı bir Popa araştırma raporunda, proxy takip şirketi Synthient, Popa SDK'sının son analizinin NetNut ile açıkça ilişkili giden trafiği ortaya çıkardığını söyledi. Synthient, 'Araştırma ekibi, Popa çalıştıran cihazların Netnut müşterilerinden gelen trafiği yönlendirdiğini yüksek güvenle değerlendiriyor. Bu, Popa'nın NetNut tarafından proxy havuzlarının bir parçası olarak aktif olarak kullanılmaya devam ettiğini şüpheye yer bırakmayacak şekilde kanıtlıyor' dedi. NetNut'un Tel Aviv merkezli ana şirketi Alarum Technologies, Synthient ve Qurium'un raporlarının 'doğrulanmış gerçeklerden ziyade bariz şekilde yanlış iddialar ve hatalı çıkarımlar' içerdiğini söyledi. Alarum, raporlarda tartışılan SDK'ların ve teknolojilerin bir 'botnet' olarak temel nitelendirmesini reddettiklerini belirten bir açıklama paylaştı. Açıklamada, 'Söz konusu SDK'lar, bant genişliği paylaşım işlevselliğini kolaylaştırmak için tasarlanmıştır ve kullanıcı cihazlarını kötü amaçlı yazılım kontrollü sistemlere dönüştürmez veya üzerinde çalıştıkları cihazları tehlikeye atmaz. Netnut, ticari bir proxy ağı işletmektedir ve hizmetlerinin yasal ve sorumlu kullanımını teşvik etmek için tasarlanmış politikalar, prosedürler ve teknolojik önlemler sürdürmektedir' ifadeleri yer aldı. Alarum, NetNut'un 'uygun bildirim ve onay mekanizmalarına önemli ölçüde vurgu yaptığını, müşteri durum tespiti yaptığını, olası kötüye kullanımı izlediğini' söyledi.
Detaylar ve Etkileri
Popa botneti, konut proxy ağlarının karanlık yüzünü gözler önüne seriyor. Kullanıcıların bilgisi dışında cihazlarını birer proxy sunucusuna dönüştüren bu ağlar, siber suçlulara anonimlik sağlarken, masum kullanıcıları da suç faaliyetlerinin bir parçası haline getiriyor. Bu durum, özellikle uygun fiyatlı Android TV kutuları satın alan tüketiciler için ciddi bir güvenlik riski oluşturuyor. Kullanıcıların, bu tür cihazları satın alırken güvenilir markaları tercih etmeleri, cihaz yazılımını güncel tutmaları ve bilinmeyen kaynaklardan uygulama yüklememeleri önemle tavsiye ediliyor. Ayrıca, ağ trafiğini izlemek ve şüpheli etkinlikleri tespit etmek için güvenlik duvarı ve antivirüs yazılımları kullanılmalıdır.
Kaynak: krebsonsecurity.com