Ancaman Baru dari Malware BadBox 2.0 yang Mengancam Perangkat Android
Serangan siber terus berkembang dan menimbulkan ancaman baru bagi pengguna perangkat Android di seluruh dunia. Salah satu ancaman terbaru adalah malware bernama BadBox 2.0, yang diketahui telah menyusup ke berbagai jenis perangkat seperti ponsel, tablet, smart TV, dan perangkat IoT lainnya. Berdasarkan laporan dari lembaga keamanan siber, malware ini terutama mengincar perangkat murah buatan China yang tidak memiliki sertifikasi resmi.
Kerentanan pada perangkat ini membuat mereka lebih rentan dibobol bahkan sebelum digunakan oleh pemiliknya. Tidak hanya perangkat mobile, malware ini juga bisa menyerang perangkat pintar lainnya yang terhubung ke jaringan rumah. Lantas bagaimana cara kerja malware ini, dan bagaimana kita bisa mengenali tanda-tandanya?
Cara Kerja Malware BadBox 2.0
Menurut laporan dari Pusat Keamanan Siber Nasional (NCSC) di Inggris, BadBox 2.0 bukanlah sekadar malware tunggal. Malware ini merupakan ekosistem modular yang dibuat oleh berbagai kelompok peretas. Penyebarannya dilakukan melalui operasi besar yang menargetkan rantai pasokan produk Android.
Malware ini ditanam langsung ke dalam firmware perangkat, yaitu sistem bawaan pabrik, saat proses produksi atau distribusi. Pabrik murah dengan keamanan supply chain yang rendah menjadi sasaran utama. Selain itu, produk dari produsen kecil yang menggunakan firmware pihak ketiga juga sangat rentan terinfeksi.
BadBox 2.0 umumnya ditemukan di berbagai perangkat seperti tablet, smart TV, smartphone murah, TV box, dan perangkat IoT lainnya. Setelah terinfeksi, perangkat akan menjadi bagian dari jaringan botnet yang dapat digunakan untuk berbagai serangan siber.
Infeksi Sejak Produksi
Salah satu metode penyebaran BadBox 2.0 adalah melalui firmware yang sudah terinfeksi sejak perangkat keluar dari pabrik. Menurut Kiran Gaikwad dari tim LAT61, “Malware berbasis Android ini sudah terpasang sebelumnya di firmware perangkat IoT murah, TV pintar, TV box, dan tablet, bahkan sebelum perangkat tersebut keluar dari pabrik.”
Selain itu, penyebaran juga bisa terjadi melalui pembaruan perangkat lunak palsu yang disampaikan saat pengguna pertama kali menginstal perangkat. Begitu perangkat dihidupkan, BadBox 2.0 akan otomatis terhubung ke server Command & Control (C2) milik peretas.
Kemampuan Peretas
Setelah berhasil menginfeksi perangkat, peretas dapat melakukan beberapa hal, antara lain:
- Menyusup ke jaringan internet lokal melalui perangkat yang terinfeksi.
- Mencuri kode autentikasi dua langkah (2FA) milik pengguna.
- Memasang malware tambahan.
- Mengubah perangkat menjadi node proxy residensial untuk menyembunyikan alamat IP asli peretas.
Dengan teknik ini, peretas dapat menjalankan berbagai kejahatan siber seperti click fraud, pencurian kredensial, dan perutean C2 rahasia tanpa mudah terdeteksi.
Tanda-Tanda Terinfeksi Malware BadBox 2.0
FBI memberikan beberapa indikasi bahwa perangkat Anda mungkin terinfeksi malware ini. Beberapa ciri-ciri yang perlu diperhatikan antara lain:
- Meminta pengguna menonaktifkan Google Play Protect.
- Menawarkan akses streaming premium gratis tanpa biaya.
- Menginstal aplikasi dari luar Google Play Store.
- Terjadi aktivitas jaringan yang mencurigakan, misalnya aplikasi yang tidak pernah dibuka tiba-tiba mengirim atau menerima data.
Jika menemukan salah satu tanda di atas, FBI menyarankan untuk segera memutuskan koneksi internet perangkat guna mencegah penyebaran infeksi dan meminimalisir penyalahgunaan.
Langkah yang Diambil Oleh Google
Google sebagai pengembang sistem operasi Android cepat merespons ancaman ini. Perusahaan mengumumkan pembaruan keamanan pada Google Play Protect, sistem perlindungan bawaan Android, agar mampu secara otomatis mendeteksi dan memblokir aplikasi atau perangkat lunak yang terhubung dengan malware ini.
Selain itu, Google juga mengambil tindakan hukum dengan mengajukan gugatan ke pengadilan federal New York terhadap pihak yang diduga terlibat. Dalam operasi penanggulangan BadBox 2.0, Google bekerja sama dengan berbagai pihak, termasuk FBI, Human Security, TrendMicro, dan Shadowserver Foundation.
