BadBox
DigitalFutureSoft (Jakarta) – BADBOX adalah malware Android yang tertanam dalam firmware perangkat. Perangkat yang terinfeksi akan segera terhubung ke server Command and Control (C2), memungkinkan penyerang untuk mengakses jaringan lokal (proxy), menyadap rahasia autentikasi dua faktor, dan menginstal malware tambahan di perangkat tersebut.
BadBox adalah malware Android yang diduga berasal dari keluarga malware ‘Triada’, yang menginfeksi perangkat dari produsen yang kurang dikenal melalui serangan rantai pasokan pada firmware mereka, karyawan yang tidak dapat dipercaya, atau melalui injeksi yang terjadi saat produk memasuki fase distribusi.
Malware ini pertama kali ditemukan pada kotak TV Android T95 yang dibeli dari Amazon oleh konsultan keamanan asal Kanada, Daniel Milisic, pada awal tahun 2023. Sejak saat itu, operasi malware ini telah meluas ke produk-produk tanpa merek lainnya yang dijual secara online.
Tujuan dari kampanye BadBox adalah untuk mendapatkan keuntungan finansial, yang dicapai dengan mengubah perangkat menjadi proxy residensial atau menggunakannya untuk melakukan penipuan iklan. Proxy residensial ini kemudian dapat disewakan kepada pengguna lain, seringkali kepada penjahat siber, yang memanfaatkan perangkat Anda sebagai proxy untuk melakukan serangan atau aktivitas penipuan lainnya.
Selain itu, malware BadBox juga dapat digunakan untuk menginstal muatan berbahaya tambahan pada perangkat Android, memungkinkan operasi yang lebih berbahaya.
Table of Contents
Apa itu BadBox
BadBox adalah jenis malware yang menyerang perangkat Android. Ini merupakan bentuk perangkat lunak berbahaya yang dapat mengancam keamanan dan privasi pengguna.
Selain merupakan ancaman yang signifikan dan terus berkembang dalam dunia malware Android. Ini bukan sekadar aplikasi berbahaya; melainkan sebuah operasi yang kompleks dan beragam yang menargetkan perangkat pada tingkat dasar, seringkali bahkan sebelum perangkat tersebut sampai ke tangan konsumen.
BADBOX adalah skema aktor ancaman yang rumit, dimulai dengan penyebaran malware pada perangkat Android merek tidak terkenal (TV, ponsel, tablet) sepanjang proses rantai pasokan di China.
Mekanisme BadBox
BADBOX memanfaatkan perangkat untuk berbagai aktivitas, seperti penggunaan proxy rumah (menggunakan perangkat yang telah disusupi sebagai titik keluar), instalasi kode jarak jauh, penyalahgunaan akun, dan penipuan iklan. Salah satu fitur paling berbahaya adalah kemampuannya untuk menginstal kode atau modul tambahan tanpa persetujuan pengguna, yang memungkinkan pelaku ancaman untuk menerapkan skema baru.
Temuan para peneliti mengenai infeksi yang muncul secara langsung menunjukkan adanya kemungkinan niat dari pabrikan, di mana gambar sistem yang dapat disesuaikan memungkinkan instalasi kode jarak jauh oleh aktor jahat, atau serangan rantai pasokan di mana malware disisipkan selama proses pengembangan, pembuatan, pengiriman, dan/atau penjualan. Kita tidak dapat memastikan apakah vektor-vektor ini saling terpisah dalam kasus BADBOX.
Apakah Anda teringat pada malware ketika memikirkan perangkat streaming dan televisi? Anda mungkin perlu memikirkan kembali hal tersebut setelah munculnya Badbox dan Peachpit, dua skema berbasis malware yang memberikan akses belakang pintu kepada pengguna yang tidak sah ke perangkat keras dan jaringan rumah.
Badbox beroperasi menggunakan trojan Triada, sebuah trojan mobile yang memanfaatkan modifikasi dan ketidaknampakan untuk merusak perangkat mobile. Diluncurkan pada tahun 2016, trojan Triada mengubah akses root pada perangkat untuk mengumpulkan informasi (seperti model perangkat, versi OS, dan rincian aplikasi yang terpasang) sebelum mengirimkannya ke server yang dikelola oleh penjahat siber untuk mencuri data atau memasukkan perintah berbahaya.
Malware Triada memodifikasi sistem root di Android OS (khususnya proses Zygote) untuk mendapatkan hak istimewa yang lebih tinggi dan menghindari pemeriksaan keamanan. Trojan Triada tetap tersembunyi dengan menyembunyikan fungsi dan modul sistemnya dari proses yang berjalan di perangkat.
Pada tahun 2019, Google melaporkan bahwa Triada telah berkembang dari trojan rooting yang menggunakan injeksi kode dan pemasangan aplikasi yang tidak sah untuk mengeksploitasi perangkat, menjadi lebih kompleks dengan menambahkan kode tambahan dalam fungsi log di kerangka kerja Android. Kode tambahan ini berjalan terus-menerus dan memungkinkan Triada untuk menciptakan backdoor bagi aplikasi Android. Pemasok pihak ketiga secara tidak sengaja menyebarkan Triada selama proses produksi mereka.
Evolusi Triada pada tahun 2019 menjadi dasar bagi layanan penipuan terdistribusi botnet. Gavin Reid, CISO di Human Security, mendukung pernyataan ini dalam analisisnya tentang Badbox. “Tanpa disadari pengguna, ketika Anda menghubungkan perangkat yang terinfeksi botnet ini, ia akan terhubung ke command and control (C2) di China, mengunduh serangkaian instruksi, dan mulai melakukan berbagai tindakan merugikan,” kata Reid.
Pada akhir tahun 2023, tim riset Human Security menjelaskan bahwa kotak streaming murah tanpa merek yang dibuat di China berfungsi sebagai pengantar malware. Tim Human Security mengonfirmasi laporan yang dibuat oleh konsultan keamanan Kanada, Daniel Milisic, pada Januari 2023. Konsultan tersebut menemukan bahwa platform e-commerce seperti Amazon dan AliExpress menjual kotak Android TV T95 yang terinfeksi malware mirip Badbox.
Para peneliti meyakini bahwa China adalah sumber produksi malware Badbox dalam kotak streaming. Namun, mereka tidak yakin pada tahap mana dalam rantai pasokan pintu firmware ilegal bergabung. Meskipun demikian, dampaknya pada perangkat sudah menjadi rahasia umum. Malware ini mempengaruhi setidaknya 74.000 perangkat mobile berbasis Android dan TV terhubung (CTV) pada tahun 2023. Selain itu, Peachpit—elemen penipuan berbasis aplikasi dari Badbox—mempengaruhi 121.000 ponsel Android. Namun, berbeda dengan Badbox, Peachpit menunjukkan dampak yang merusak pada iPhone, mempengaruhi 159.000 perangkat iOS.
Peneliti keamanan siber telah mengungkapkan bahwa botnet BadBox telah berkembang menjadi 192.000 perangkat yang terpengaruh, meskipun pihak berwenang Jerman baru-baru ini berhasil mengganggu salah satu server utama yang mengendalikan botnet tersebut.
Awalnya, botnet BadBox terdiri dari perangkat Android seperti TV, bingkai foto digital, dan kotak streaming media yang diproduksi oleh produsen yang tidak dikenal di China. Kini, para peneliti memperingatkan bahwa botnet ini tampaknya telah meluas untuk mencakup perangkat yang diproduksi oleh merek yang lebih terpercaya seperti Hisense dan Yandex.
Masih belum jelas bagaimana tepatnya malware BadBox dapat menyebar ke perangkat yang terpengaruh. Para peneliti menduga bahwa kemungkinan besar ini terjadi melalui ancaman dari dalam, serangan rantai pasokan pada firmware perangkat selama proses produksi, atau manipulasi firmware perangkat sebelum dibeli oleh konsumen.
Setelah seorang konsumen menghubungkan perangkat yang terinfeksi botnet ke internet, perangkat tersebut berfungsi sebagai proxy rumah yang disewakan kepada aktor jahat lainnya untuk memfasilitasi aktivitas siber yang merugikan. Selain itu juga mampu menginstal payload Android berbahaya tambahan yang dapat memungkinkan pelanggaran perangkat lain di jaringan lokal.
Saat ini, bot ini sebagian besar berada di China, India, Rusia, Belarus, Brasil, dan Ukraina. Namun, jumlah negara yang terpengaruh kemungkinan akan meningkat jika malware BadBox terus menyusup ke merek-merek populer yang dijual di negara-negara Barat.
Cara Pencegahan
Gangguan ini kemungkinan besar bukanlah akhir dari cerita bagi KONOHATOTO78. Para pengelola botnet akan beradaptasi kembali dan membangun infrastruktur mereka. Dengan adanya rantai pasokan perangkat yang terkompromi, botnet ini akan muncul kembali dalam waktu dekat.
Bagi banyak pengguna, kabar tentang BADBOX bisa menjadi hal yang mengkhawatirkan, terutama jika mereka mengandalkan perangkat yang mungkin tidak disertifikasi oleh Google. Meskipun rincian teknis mengenai malware ini cukup rumit, ada beberapa langkah sederhana yang dapat diambil pengguna untuk melindungi perangkat mereka:
- Periksa Sertifikasi Perangkat.
Langkah awal untuk memastikan keamanan perangkat Android Anda adalah dengan memeriksa apakah perangkat tersebut telah disertifikasi oleh Google Play Protect. Perangkat yang disertifikasi mendapatkan pembaruan keamanan secara berkala dan dilengkapi dengan perlindungan yang membantu mendeteksi serta memblokir aplikasi berbahaya. Jika perangkat Anda tidak disertifikasi, Anda mungkin berisiko lebih tinggi terpapar malware seperti BADBOX 2.0.
- Aktifkan Google Play Protect.
Jika perangkat Anda sudah disertifikasi, pastikan Google Play Protect diaktifkan. Layanan ini secara terus-menerus memindai perangkat Anda untuk mencari aplikasi yang berpotensi berbahaya dan perilaku mencurigakan. Menjaga agar layanan ini tetap aktif dapat mengurangi kemungkinan Anda secara tidak sengaja menginstal aplikasi berbahaya.
- Unduh Aplikasi dari Sumber Terpercaya.
Hindari mengunduh aplikasi dari sumber yang tidak resmi atau toko aplikasi pihak ketiga. Saluran resmi seperti Google Play Store menerapkan pemeriksaan keamanan yang ketat dan lebih kecil kemungkinannya untuk menampung aplikasi yang menipu atau berbahaya. Meskipun BADBOX 2.0 berhasil membuat aplikasi “evil twin” yang menipu, tetap menggunakan sumber yang terpercaya dapat meminimalkan risiko Anda.
- Perbarui Perangkat Secara Berkala.
Memastikan sistem operasi dan aplikasi perangkat Anda selalu diperbarui sangat penting untuk keamanan siber. Pembaruan sering kali mencakup perbaikan untuk kerentanan yang dapat dieksploitasi oleh malware. Bahkan jika perangkat tidak disertifikasi, memastikan semua pembaruan yang tersedia terinstal dapat mengurangi beberapa risiko yang terkait dengan perangkat lunak yang usang yang siap menjadi incaran BadBox.
- Awasi Perilaku yang Tidak Biasa.
Tetap waspada terhadap perilaku BadBox yang tidak biasa pada perangkat Anda. Jika Anda melihat pop-up yang tidak terduga, aktivitas jaringan yang aneh, atau penurunan kinerja yang signifikan, itu bisa menjadi tanda bahwa perangkat Anda telah terkompromi. Deteksi dini sangat penting untuk mencegah kerusakan lebih lanjut.
Kesimpulan
Kemunculan BADBOX menjadi pengingat yang jelas akan tantangan yang dihadapi oleh kampanye malware modern. Dengan mekanisme backdoor yang canggih, tiruan aplikasi yang menipu, dan kolaborasi antara berbagai kelompok pelaku ancaman, kampanye ini menunjukkan evolusi signifikan dalam malware Android. Upaya tim Satori Threat Intelligence dari HUMAN Security, bekerja sama dengan pemimpin industri seperti Google, Trend Micro, dan Shadowserver, menekankan pentingnya respons terkoordinasi dalam melawan kejahatan siber.
Langkah proaktif Google, termasuk penerapan Google Play Protect dan penutupan akun penerbit yang terkait dengan malware, menunjukkan bahwa ancaman siber berskala besar pun dapat diatasi dengan strategi yang tepat. Menjaga keamanan perangkat melalui sertifikasi, pembaruan rutin, dan unduhan aplikasi yang hati-hati tetap menjadi hal yang sangat penting bagi pengguna.
Melihat ke depan, jelas bahwa lanskap keamanan siber akan terus menghadapi ancaman baru dan yang terus berkembang. Namun, individu dan organisasi dapat menghadapi tantangan ini dan berupaya menuju dunia digital yang lebih aman dengan tetap terinformasi, waspada, dan proaktif. Pertarungan melawan malware seperti BADBOX masih berlangsung. Namun, dengan upaya bersama dari seluruh ekosistem, kita dapat mengurangi dampaknya dan melindungi perangkat yang telah menjadi bagian penting dari kehidupan sehari-hari kita.
Sebagai kesimpulan, kampanye malware BADBOX adalah studi kasus penting dalam memahami kompleksitas ancaman siber modern. Ini menggambarkan bagaimana aktivitas kriminal yang terkoordinasi, metode teknis yang maju, dan insentif ekonomi bersatu untuk menciptakan tantangan yang melampaui perangkat individu. Bagi siapa pun yang peduli tentang keamanan digital, episode ini adalah panggilan untuk bertindak—sebuah pengingat bahwa keamanan siber adalah tanggung jawab bersama yang memerlukan kewaspadaan terus-menerus, pilihan yang terinformasi, dan pertahanan teknologi yang kuat.
Editor: Solusi Digital Masa Depan – DigitalFutureSoft.com