image credit: Pixabay.com
Kabar buruk, tanpa sadar banyak pengguna Android TV Indonesia menjadi botnet, jumlah korbannya tidak sedikit, ketiga terbesar di dunia.
Varian baru botnet malware Vo1d telah berkembang menjadi 1.590.299 perangkat Android TV yang terinfeksi di 226 negara, merekrut perangkat sebagai bagian dari jaringan server proxy anonim.
Hal ini berdasarkan investigasi yang telah melacak kampanye baru tersebut sejak November lalu, melaporkan bahwa botnet tersebut mencapai puncaknya pada 14 Januari 2025, dan saat ini memiliki 800.000 bot aktif.
Pada September 2024, ditemukan 1,3 juta perangkat di 200 negara disusupi oleh malware Vo1d melalui vektor infeksi yang tidak diketahui.
Laporan terbaru menunjukkan bahwa versi baru botnet Vo1d melanjutkan operasinya dalam skala yang lebih besar, tidak terhalang oleh paparan sebelumnya.
Selain itu, para peneliti menggarisbawahi bahwa botnet tersebut telah berevolusi dengan enkripsi tingkat lanjut (RSA + XXTEA khusus), infrastruktur bertenaga DGA yang tangguh, dan kemampuan siluman yang ditingkatkan.
|
Baca juga: Panduan Menghadapi Serangan Botnet |
Infeksi Botnet yang Besar
Botnet Vo1d merupakan salah satu botnet terbesar yang pernah ada dalam beberapa tahun terakhir, melampaui Bigpanzi, operasi Mirai.
Dan botnet yang bertanggung jawab atas serangan DDoS 5,6 Tbps yang memecahkan rekor yang ditangani oleh Cloudflare tahun lalu.
Hingga Februari 2025, setelah diakumulasi diketahui ada beberapa negara yang mengalami infeksi dalam jumlah besar, yakni:
- Brasil 25%
- Afrika Selatan (13,6%)
- Indonesia (10,5%)
- Argentina (5,3%)
- Thailand (3,4%)
- Tiongkok (3,1%).
Indonesia yang belakangan mengalami serangan siber signifikan yang meningkat setiap tahunnya, menjadi 3 besar dalam daftar dengan besar persentase 10,5% atau 166.981.395 juta perangkat Android TV yang terinfeksi.
Ini semakin menunjukkan bahwa keamanan siber pengguna di Indonesia masih jauh dari baik, dengan ratusan juta orang pengguna menjadi korban merupakan bukti yang paling nyata.
Siklus Botnet Malware Vo1d
Para peneliti melaporkan bahwa botnet tersebut mengalami lonjakan infeksi yang signifikan, seperti peningkatan dari 3.900 menjadi 217.000 bot di India hanya dalam waktu tiga hari.
Fluktuasi terbesar menunjukkan bahwa operator botnet mungkin “menyewa” perangkat sebagai server proxy, yang umumnya digunakan untuk melakukan aktivitas ilegal atau botting lebih lanjut.
Peneliti berspekulasi bahwa fenomena “lonjakan cepat yang diikuti oleh penurunan tajam” mungkin disebabkan oleh Vo1d yang menyewakan infrastruktur botnetnya di wilayah tertentu kepada kelompok lain.
Berikut ini cara kerja siklus “sewa-kembali” ini:
Fase Sewa:
Pada awal sewa, bot dialihkan dari jaringan Vo1d utama untuk melayani operasi penyewa.
Pengalihan ini menyebabkan penurunan mendadak dalam jumlah infeksi Vo1d karena bot untuk sementara dihapus dari kumpulan aktifnya.
Fase Pengembalian:
Setelah periode sewa berakhir, bot bergabung kembali dengan jaringan Vo1d. Integrasi ulang ini menyebabkan lonjakan cepat dalam jumlah infeksi karena bot menjadi aktif kembali di bawah kendali Vo1d.
Mekanisme siklus “sewa dan pengembalian” ini dapat menjelaskan fluktuasi yang diamati dalam skala Vo1d pada titik waktu tertentu.
Skala infrastruktur Command & Control (C2)-nya juga mengesankan, dengan operasi yang menggunakan 32 benih algoritma pembangkitan domain (DGA) untuk menghasilkan lebih dari 21.000 domain C2.
Komunikasi C2 dilindungi oleh kunci RSA 2048-bit, jadi meskipun peneliti mengidentifikasi dan mendaftarkan domain C2, mereka tidak dapat mengeluarkan perintah ke bot.
|
<strong>Baca juga: Hitam Kelamnya Botnet |
Kemampuan Vo1d
Botnet Vo1d adalah alat kejahatan dunia maya multiguna yang mengubah perangkat yang disusupi menjadi server proksi untuk memfasilitasi operasi ilegal.
Perangkat yang terinfeksi meneruskan lalu lintas berbahaya untuk penjahat dunia maya, menyembunyikan asal aktivitas mereka.
Kemudian perangkat berbaur dengan lalu lintas jaringan perumahan, membantu pelaku untuk:
- Melewati batasan regional.
- Penyaringan keamanan.
- Dan perlindungan lainnya.
Fungsi lain Vo1d adalah penipuan iklan, memalsukan interaksi pengguna dengan mensimulasikan klik pada iklan atau tampilan pada platform video untuk menghasilkan pendapatan bagi pengiklan yang curang.
Malware tersebut memiliki plugin khusus yang mengotomatiskan interaksi iklan dan mensimulasikan perilaku penjelajahan seperti manusia, serta Mzmess SDK, yang mendistribusikan tugas penipuan ke berbagai bot.
Langkah Keamanan
Mengingat rantai infeksi masih belum diketahui, pengguna Android TV disarankan untuk mengikuti pendekatan keamanan holistik guna mengurangi ancaman Vo1d.
Langkah pertama
Membeli perangkat dari vendor bereputasi baik dan pengecer tepercaya untuk meminimalkan kemungkinan malware dimuat sebelumnya dari pabrik atau saat dalam perjalanan.
Langkah kedua
sangat penting untuk memasang pembaruan firmware dan keamanan yang menutup celah yang dapat dimanfaatkan untuk infeksi jarak jauh.
Langkah ketiga
pengguna harus menghindari mengunduh aplikasi di luar Google Play atau citra firmware pihak ketiga yang menjanjikan fungsionalitas yang diperluas dan “tidak terkunci”.
Fitur akses jarak jauh pada perangkat Android TV harus dinonaktifkan jika tidak diperlukan, sementara menonaktifkannya saat tidak digunakan juga merupakan strategi yang efektif.
Pada akhirnya, perangkat IoT harus diisolasi dari perangkat berharga yang menyimpan data sensitif di tingkat jaringan.
Demikian pembahasan mengenai tanpa sadar banyak pengguna Android TV Indonesia menjadi botnet, semoga dapat memberi manfaat bagi para pembaca.
Sumber berita:
