FBI ve Google, milyonlarca Android tabanlı cihazı kullanan büyük bir botnet ağını devre dışı bıraktı. Operasyonun hedefinde, güvenlik araştırmacılarının Popa botnet olarak takip ettiği ve NetNut adıyla ticari proxy hizmeti sunduğu belirtilen altyapı vardı.
Paylaşılan bilgilere göre ağ; düşük maliyetli Android TV cihazları, yayın kutuları ve bazı resmi olmayan uygulamalar üzerinden yayılıyordu. Bunlar arasında SmartTube da yer alıyor. Etkilenen cihazlar internete bağlandıktan sonra, kullanıcıya açık ve net bir onay süreci sunulmadan proxy çıkış noktası gibi çalışmaya başlıyordu.
Bu yapı saldırganlara önemli bir avantaj sağladı. İnternet trafiği sıradan ev bağlantıları üzerinden yönlendirildiği için kötü amaçlı faaliyetleri tespit etmek daha zor hale geldi. Google, Haziran 2026’da bir haftalık dönemde en az 316 farklı tehdit kümesinin bu ağı parola denemeleri, hesap ele geçirme girişimleri, reklam dolandırıcılığı ve veri toplama gibi amaçlarla kullandığını söyledi.
Olayı dikkat çekici kılan noktalardan biri de bunun klasik bir yeraltı botnet ağı gibi işlememesi. Google Threat Intelligence Group ve olaya dair haberlerde aktarılan bilgilere göre sistem, ticari bir residential proxy hizmeti gibi sunuluyordu. Ancak bağımsız incelemeler, cihaz sahiplerinin bant genişliğinin ve bağlantısının bu şekilde kullanıldığı konusunda yeterince bilgilendirilmediğine işaret ediyor.
Yetkililer operasyon kapsamında hizmetle bağlantılı yüzlerce alan adına el koydu. Google ise komuta-kontrol için kullanılan hesapları kapattı, Play Protect tarafında ilgili uygulamaları işaretleyen güncellemeler yayınladı ve zararlı SDK içeren uygulamaların kapatılması için adım attı. Şirkete göre bu koordineli müdahale, ağın elindeki kullanılabilir cihaz havuzunu milyonlar seviyesinde azaltarak operasyonu ciddi ölçüde zayıflattı.
Bu gelişme, 2026’nın başında IPIDEA adlı başka bir büyük proxy ağına karşı yapılan müdahalenin ardından geldi. Son dönemde hem güvenlik şirketleri hem de teknoloji firmaları, yalnızca saldırganları değil, onların kullandığı proxy altyapılarını da hedef almaya başladı. Son operasyon da akıllı TV’ler ve ucuz Android tabanlı yayın cihazlarının ne kadar kolay suistimal edilebildiğini bir kez daha gösteriyor.
Kaynak: www.techspot.com
