Dört yıldır aktif olan Popa adlı devasa bir Android botneti, milyonlarca tüketici TV kutusunu ele geçirerek internet trafiğini reklam dolandırıcılığı, hesap ele geçirme ve toplu veri kazıma faaliyetlerinde kullanıyor. Bu hafta birden fazla güvenlik firmasından araştırmacılar, Popa botnetinin, halka açık İsrail şirketi Alarum Technologies Ltd'nin [NASDAQ: ALAR] iştiraki olan NetNut'a bağlı olduğu sonucuna vardı.
Popa, geleneksel botnetlerden farklı olarak yıkıcı faaliyetler (örneğin DDoS saldırıları) yerine, cihazları kaydeden, uzun süreli şifreli bağlantılar kuran ve talep üzerine iletişim tünelleri açan bir kalıcı iletişim katmanı oluşturmak için tasarlanmış. Uzmanlar, Popa'nın Vo1d botnetiyle ilişkili bir eklenti bileşeni olduğunu belirtiyor. Vo1d, resmi olmayan Android TV kutularını hedef alan büyük çaplı bir kötü amaçlı yazılım kampanyası.
Bu TV kutuları, binlerce marka ve model altında satılıyor ve genellikle tek seferlik bir ücret karşılığında yüzlerce abonelik video hizmetini yayınlama vaadiyle e-ticaret sitelerinde bulunuyor. Ancak FBI ve güvenlik uzmanlarının uyardığı gibi, bu kutular genellikle kullanıcının TV'sini 'residential proxy'ye dönüştüren yazılımlarla önceden yüklenmiş geliyor. Bu proxy ağları, kötü niyetli müşterilerin cihaz sahibinin yerel ağına sızmasını engellemekte yetersiz kalıyor.
Önemli Gelişmeler
Popa'nın kökenine dair ilk ipuçları, 2025'te Çinli güvenlik şirketi XLAB'ın raporunda ortaya çıktı. Rapor, ele geçirilen cihazları kaydetmek ve yönlendirmek için kullanılan en az dokuz alan adını işaret ediyordu. Qurium'un bugün yayınladığı raporda, aynı alan adlarının Mayıs 2026'da 1,4 milyondan fazla IP adresine yayılan maliyetli veri kazıma olaylarıyla bağlantılı olduğu belirtildi.
Qurium, Popa'yı kontrol eden düzinelerce alan adı tespit etti: gmslb[.]net, safernetwork[.]io, tera-home[.]com ve ninjatech[.]io. Araştırmalar, gmslb[.]net'in CRICFy, DooFlix gibi korsan video akış uygulamalarında kullanıldığını gösterdi. Temmuz 2025'te Google, HUMAN Security ve Trend Micro'nun Badbox 2.0 botnetini çökertmesinin ardından, Popa'nın kontrol alan adlarından biri olan ninjatech[.]io'nun yeni kaydedilmediği, ancak eski olduğu fark edildi.
Nasıl Önlem Alınmalı?
Ninjatech, LinkedIn profiline göre NetNut'ta Ar-Ge başkan yardımcısı olan Moishi Kramer tarafından kuruldu. Kramer e-postayla yaptığı açıklamada, Ninjatech'in yaklaşık beş yıl önce faaliyetlerini durdurduğunu ve Popa adlı SDK'yı üçüncü taraflara sattığını söyledi. Ancak Synthient'in analizi, Popa SDK'sının NetNut'a ait trafik yönlendirdiğini kanıtladı. Alarum Technologies ise raporları reddederek SDK'ların kötü amaçlı olmadığını savundu.
Bu gelişmeler, kullanıcıların ucuz TV kutularına karşı dikkatli olması gerektiğini gösteriyor. Cihazların resmi yazılım güncellemeleri alması, bilinmeyen kaynaklardan uygulama yüklenmemesi ve ağ trafiğinin izlenmesi önemli. Ayrıca, residential proxy hizmetlerinin denetlenmesi ve bu tür botnetlerin yasal sorumluluğunun belirlenmesi için daha sıkı düzenlemeler gerekiyor.
Kaynak: krebsonsecurity.com