ABD Federal Soruşturma Bürosu (FBI) ve Google Tehdit Analiz Grubu (GTIG), dünya genelinde 2 milyondan fazla Android tabanlı akıllı televizyon ve TV kutusunu (streaming box) ele geçirerek siber saldırılarda paravan olarak kullanan devasa bir konut tipi proxy (residential proxy) ağına karşı ortak bir küresel operasyon düzenledi. Siber güvenlik dünyasında Popa botneti olarak takip edilen ve ticari olarak NetNut markası altında işletilen bu yasa dışı ağ, düzenlenen darbe ile büyük ölçüde etkisiz hale getirildi.
Akıllı TV’ler ve SmartTube gibi uygulamalar üzerinden yayıldı
Yapılan teknik incelemeler, siber korsanların kullanıcıların evlerine kadar nasıl sızdığını açıkça ortaya koydu:
- Zararlı SDK Yazılımı: Botnet, özellikle ucuz ve lisanssız (off-brand) Android TV cihazlarına, medya kutularına ve SmartTube gibi resmi olmayan (üçüncü parti) popüler uygulamaların içerisine gizlenmiş zararlı bir yazılım geliştirme kiti (SDK) vasıtasıyla yayıldı.
- Gizli Paravan Dağıtımı: Bu cihazlar internete bağlandığı an, kullanıcıların hiçbir şekilde açık rızası, onayı veya haberi olmadan arka planda birer “proxy çıkış noktası” (exit node) haline getirildi. Saldırganlar bu sayede dünya genelindeki siber saldırı trafiklerini sıradan insanların ev interneti (konut IP’leri) üzerinden yönlendirerek gerçek kimliklerini gizledi ve güvenlik filtrelerini kolayca atlattı.
Google verilerine göre, sadece Haziran 2026’daki bir haftalık zaman diliminde en az 316 farklı organize siber tehdit grubu, NetNut altyapısını kiralayarak dünya genelinde şifre kırma (password spraying), kimlik bilgisi hırsızlığı, reklam dolandırıcılığı ve veri kazıma operasyonları yürüttü. Aynı zamanda ağın, cihazları ele geçiren ünlü Mirai DDoS botnet varyantlarıyla da entegre çalıştığı tespit edildi.
Nasdaq’ta işlem gören İsrailli şirkete uzanan bağlar
Bu operasyonu geleneksel yeraltı botnetlerinden ayıran en büyük fark, arkasında tamamen yasal görünen ticari bir yapının bulunması oldu. Ünlü siber güvenlik gazetecisi Brian Krebs; Qurium ve Synthient gibi araştırma şirketlerinin raporlarına dayanarak, korsan Popa SDK’sını yazan yazılımcı ekip ile Nasdaq borsasında işlem gören İsrailli Alarum Technologies Ltd. (NetNut’ın çatı şirketi) üst yönetimi arasında doğrudan bağlar bulunduğunu iddia etti.
Her ne kadar Google yayımladığı resmi raporda şirket ismini doğrudan zikretmemiş olsa da, NetNut’ın kendi altyapısını başka markaların kendi isimleriyle satmasına (white-labeling) izin veren devasa bir bayilik ağı kurduğunu yüksek güvenle doğruladı. Operasyonun duyurulmasının ardından Alarum Technologies (ALAR) hisseleri Nasdaq’ta bir günde %50’yi aşan tarihi bir çöküş yaşadı. Şirket yaptığı açıklamada, FBI tarafından bazı internet alan adlarına el konulduğunu doğrulayarak altyapının kötüye kullanımına karşı kolluk kuvvetleriyle tam iş birliği yapacaklarını duyurdu.
Google ve FBI altyapıyı nasıl felç etti
Botnet ağının kendini hızla toparlamasını engellemek adına operasyon kapsamında çok yönlü teknik ve yasal engelleme mekanizmaları devreye sokuldu:
- C2 Hesapları Kapatıldı: Google, botnetin komuta ve kontrol (C2) merkezi olarak kullanılan ve kötü amaçlı yazılımları yöneten tüm Google hesaplarını ve ilişkili servislerini tamamen askıya aldı.
- Alan Adlarına El Konuldu: FBI, court-authorized (mahkeme kararlı) bir operasyonla NetNut ve Popa altyapısına ait çok sayıda kritik internet alan adına (domain) el koyarak web sitelerine kapatma bildirimini astı.
- Google Play Protect Güncellemesi: Android işletim sisteminin yerleşik koruma kalkanı Google Play Protect anında güncellendi. Sistem, bünyesinde bu zararlı SDK’yı barındıran akıllı TV uygulamalarını otomatik olarak tespit etmeye, kullanıcıları uyarmaya ve bu uygulamaları cihazlarda zorunlu olarak devre dışı bırakmaya başladı.
Siber güvenlik uzmanları, bu tür ağların tuzağına düşmemek adına kullanıcıların “kullanmadığınız internet bant genişliğinizi paylaşarak para kazanın” vaadinde bulunan proxyware uygulamalarından kesinlikle uzak durması, akıllı TV’lerde sadece resmi mağazalardaki uygulamaları tercih etmesi ve Play Protect sertifikalı güvenilir markaları kullanması gerektiği konusunda uyarıyor.
