Milyonlarca cihaza sızmıştı
Araştırmaya göre Popa botneti, düşük maliyetli Android tabanlı akıllı televizyonlar, TV kutuları (streaming box) ve SmartTube gibi resmi olmayan uygulamalara yerleştirilen kötü amaçlı bir yazılım geliştirme kiti (SDK) üzerinden yayıldı. Etkilenen cihazlar internete bağlandıktan sonra kullanıcıların açık ve anlamlı onayı alınmadan saldırganlar için birer proxy çıkış noktası olarak çalışmaya başladı.
Google'ın verilerine göre yalnızca Haziran 2026'da bir haftalık süre içinde en az 316 farklı tehdit kümesi NetNut altyapısını kullanarak şifre, kimlik bilgisi, reklam dolandırıcılığı ve hassas veri toplama operasyonları yürüttü.
İsrail bağlantısı dikkat çekti
Google ise operasyon kapsamında şirket hakkında doğrudan bir değerlendirme yapmadı. Bunun yerine araştırmacılar, NetNut'un iş ortaklarının aynı altyapıyı kendi markaları altında sunmasına imkan tanıyan bir dağıtım modeli kullandığını belirtti. Google ekibi çok sayıda popüler konut tipi proxy hizmetinin NetNut altyapısı üzerine kurulu olduğu açıkladı.
Alarum Technologies ise operasyonun ardından yaptığı açıklamada iddiaları ciddiyetle ele aldığını, kolluk kuvvetleriyle tam iş birliği yapacağını ve altyapısının olası kötüye kullanımının kapsamlı şekilde araştırılmasını desteklediğini duyurdu.
Öte yandan operasyon kapsamında yetkililer yüzlerce alan adına el koyarken Google da botnetin komuta ve kontrol (C2) altyapısında kullanılan hesapları devre dışı bıraktı. Ayrıca Google Play Protect güncellenerek etkilenen uygulamalar tespit edilmeye başlandı ve zararlı SDK'yı içeren uygulamalar kullanım dışı bırakıldı.