Google Perşembe günü, New York Federal Mahkemesinde Badbox 2.0 Botnet ve Konut Proxy Altyapısı’nı işlettiği iddia edilen 25 isimsiz kişiye veya kuruluşa karşı yasal işlem yaptığını açıkladı.
Tech Giant, “Badbox 2.0 BOTNET, Android’in açık kaynaklı yazılımını (Android Açık Kaynak Projesi) çalıştıran 10 milyondan fazla sertleşmemiş cihazdan ödün verdi.
“Siber suçlular bu cihazları önceden yüklenmiş kötü amaçlı yazılımlarla bulaştı ve büyük ölçekli reklam sahtekarlığı ve diğer dijital suçlar yürütmeleri için sömürdüler.”
Şirket, Badbox ile ilgili uygulamaları otomatik olarak engellemek için Android’de yerleşik bir kötü amaçlı yazılım ve istenmeyen bir yazılım koruma mekanizması olan Google Play Protect’i güncellemek için hemen adımlar attığını söyledi.
Geliştirme, ABD Federal Soruşturma Bürosu’nun (FBI) Badbox 2.0 Botnet hakkında bir uyarı yayınlamasından bir aydan biraz fazla bir süre sonra geliyor.
İlk olarak 2022’nin sonlarında tespit edilen Badbox’ın, çoğu Çin’de üretilen TV akışı cihazları, dijital projektörler, satış sonrası araç bilgi -eğlence sistemleri, dijital resim çerçeveleri ve diğer ürünler gibi Nesnelerin İnterneti (IoT) cihazları aracılığıyla yayıldığı bilinmektedir.
FBI, “Siber suçlular, kullanıcılar satın almadan veya enfekte etmeden önce ürünü kötü amaçlı yazılımlarla yapılandırarak ev ağlarına yetkisiz erişim elde ediyor.
Bu Mart ayının başlarında yayınlanan bir analizde, insan güvenliği tehdidi bugüne kadar ortaya çıkan enfekte edilmiş bağlı TV (CTV) cihazlarının en büyük botnet’i olarak nitelendirdi. Badbox enfeksiyonlarının büyük çoğunluğu Brezilya, ABD, Meksika ve Arjantin’de bildirilmiştir.
Kötü amaçlı yazılımın erken yinelemeleri, satın alınmadan önce IoT cihazlarını kötü amaçlı yazılımlarla geri yükleyen tedarik zinciri uzlaşmaları yoluyla yayılırken, saldırı zincirleri o zamandan beri enfeksiyonların gayri resmi pazarlardan indirilen kötü amaçlı uygulamalar yoluyla yayılmasına izin vermek için uyarlanmıştır.
10 milyondan fazla cihazın botnet’e girdiği tahmin ediliyor ve operatörlerinin diğer tehdit aktörleri tarafından çeşitli yasadışı faaliyetleri kolaylaştırmak için tehlikeye atılmış ev ağlarına erişim satmalarını sağlıyor.
11 Temmuz 2025’te açılan bir şikayette Google, Badbox Enterprise’ın her biri cezai altyapının farklı yönlerinden sorumlu olan birden fazla grup içerdiğini iddia etti –
- Badbox 2.0’ın birincil komuta ve kontrol (C2) altyapısını kuran ve yöneten altyapı grubu
- Botlarda arka kapı kötü amaçlı yazılımları geliştiren ve ön yükleyen arka kapı kötü amaçlı yazılım grubu
- Reklamlara hizmet etmek ve gizli reklamları yükleyen gizli web tarayıcıları başlatmak için Google Play Store’da bulunan meşru uygulamaların “Evil Twin” sürümlerini oluşturan bir reklam sahtekarlığı kampanyasının arkasında bulunan Evil Twin Group.
- Reklam oluşturmak için hileli “oyunlar” kullanan reklam oyunları grubu
Şirket ayrıca Badbox 2.0 aktörlerini Google Reklam Ağı’nda yayıncı hesapları oluşturmakla, Google tarafından telafi edildikleri uygulamalarında veya web sitelerinde reklam alanı sunmakla suçladı.
Google, “Enterprise’ın uygulamalarının ve web sitelerinin tek amacı, Badbox 2.0 botlarının trafik oluşturması için reklam alanı sağlamaktır.” Dedi. “İşletme, bu reklamları ‘görüntülemek’ için Badbox 2.0 botları dağıtacak ve reklamın sayısız izlenimini oluşturacak. Google, Badbox 2.0 Enterprise’a ödeme yapıyor […] Bu izlenimler için. “
Ayrıca Google, yasadışı operasyonun, tehdit aktörlerinin ağındaki reklam sahtekarından üç farklı şekilde kâr etmesine izin verdiğini belirtti: “kötü ikiz” şeması aracılığıyla gizli reklamları gizlice yüklemek, gizli web tarayıcıları açmak ve kendileri tarafından oluşturulan oyun web sitelerinde reklamlarla etkileşime giriyor ve tıklama sahtekarlığı yürütmek için enfekte edilmiş bilgileri kullanıyor.
“Mahkeme bir ön tedbir kararı vermiştir, IE, Badbox 2.0 işletmesinin botnet operasyonlarını ve ilişkili ceza programlarını derhal durdurmasını ve üçüncü taraf internet hizmet sağlayıcılarını ve etki alanı kayıtlarını, BOTNET’in altyapısının ortadan kaldırılmasına yardımcı olmak için aktif olarak yardımcı olmasını sağlamak, örneğin, Google’ın trafiğini, trafiğini, örneğin, Google’ın trafiğini sıkmak için aktif olarak yardımcı olmasını sağlar.
Hacker News ile paylaşılan bir açıklamada, İnsan Güvenliği CEO’su Stu Solomon, Google’ın Badbox 2.0’ın arkasındaki tehdit aktörlerine karşı eylemi memnuniyetle karşıladı ve çabanın bu tür tehditlere karşı işbirliği yapma gücünü örneklediğini belirtti.
Solomon, “Bu yayından kaldırma, interneti, cihazları ele geçiren, para çalan ve tüketicileri bilgisi olmadan sömüren sofistike sahtekarlık operasyonlarından korumak için devam eden savaşta önemli bir adım atıyor.”