Botnet Android Kimwolf Manfaatkan Residential Proxy untuk Menyusupi Perangkat Jaringan Internal

Botnet Android bernama Kimwolf, varian dari malware Aisuru, terus berkembang pesat dan kini telah menginfeksi lebih dari dua juta perangkat. Mayoritas infeksi terjadi melalui penyalahgunaan jaringan residential proxy, yang memungkinkan pelaku menargetkan perangkat Android di dalam jaringan internal pengguna tanpa disadari.

Aktivitas Kimwolf terpantau meningkat sejak Agustus lalu, dengan lonjakan signifikan dalam beberapa bulan terakhir. Para peneliti keamanan mencatat bahwa botnet ini secara agresif memindai jaringan proxy untuk mencari perangkat Android dengan layanan Android Debug Bridge (ADB) yang terbuka tanpa autentikasi.

Menargetkan TV Box dan Perangkat Streaming

Perangkat yang paling sering menjadi sasaran Kimwolf adalah TV box berbasis Android dan perangkat streaming murah yang mengaktifkan ADB melalui jaringan. Perangkat-perangkat ini sering kali memungkinkan akses tanpa autentikasi, sehingga memudahkan pengambilalihan jarak jauh.

Setelah terinfeksi, perangkat digunakan untuk berbagai aktivitas berbahaya, termasuk serangan distributed denial-of-service (DDoS), penyewaan proxy ilegal, serta monetisasi instalasi aplikasi melalui SDK pihak ketiga. Aisuru, keluarga malware yang menaungi Kimwolf, sebelumnya juga dikaitkan dengan serangan DDoS terbesar yang pernah dipublikasikan, dengan lalu lintas puncak mencapai hampir 30 terabit per detik.

Skala Infeksi Terus Meningkat

Laporan intelijen ancaman menunjukkan bahwa pada awal Desember, jumlah perangkat yang terinfeksi telah melampaui 1,8 juta unit. Dalam perkembangannya, angka tersebut terus naik hingga mendekati dua juta perangkat aktif, menghasilkan sekitar 12 juta alamat IP unik setiap pekan.

Sebaran infeksi paling banyak ditemukan di Vietnam, Brasil, India, dan Arab Saudi. Dalam sejumlah kasus, perangkat sudah terinfeksi sebelum dibeli konsumen, akibat tertanamnya SDK proxy sejak tahap distribusi awal.

Penyalahgunaan Residential Proxy

Pertumbuhan Kimwolf yang cepat sebagian besar didorong oleh kemampuannya mengeksploitasi kelemahan pada layanan residential proxy. Beberapa penyedia proxy memungkinkan klien mengakses alamat dan port jaringan lokal, sehingga malware dapat berinteraksi langsung dengan perangkat lain di jaringan internal yang sama.

Sejak pertengahan November 2025, aktivitas pemindaian meningkat drastis terhadap port-port yang umum digunakan ADB, seperti 5555, 5858, 12108, dan 3222. Jika ADB dapat diakses, malware akan mengirimkan payload menggunakan utilitas jaringan sederhana dan mengeksekusi skrip langsung di perangkat target.

ADB sendiri merupakan antarmuka pengembangan Android yang memungkinkan instalasi aplikasi, eksekusi perintah sistem, hingga transfer file. Jika terekspos ke jaringan tanpa perlindungan, ADB dapat menjadi pintu masuk bagi eksekusi kode jarak jauh.

Dalam salah satu sampel jaringan proxy yang dianalisis, lebih dari separuh perangkat Android ditemukan dapat diakses tanpa autentikasi. Kondisi ini membuat perangkat dapat dieksploitasi hanya dalam hitungan menit setelah terhubung ke jaringan proxy.

Respons Penyedia Proxy dan Tantangan Mitigasi

Setelah menerima laporan kerentanan, salah satu penyedia proxy besar mengambil langkah mitigasi dengan membatasi akses ke jaringan lokal dan menutup berbagai port sensitif. Namun, para peneliti menyebutkan bahwa tidak semua penyedia proxy dapat diidentifikasi dengan pasti, sehingga potensi penyalahgunaan masih terbuka lebar.

Secara keseluruhan, hampir selusin laporan kerentanan telah dikirimkan ke berbagai penyedia proxy yang terindikasi terlibat dalam aktivitas Kimwolf. Meski begitu, sifat ekosistem proxy yang kompleks membuat penanganan menyeluruh menjadi sulit.

Langkah Perlindungan yang Disarankan

Untuk membantu mitigasi, para peneliti merilis alat pemindai daring yang memungkinkan pengguna memeriksa apakah perangkat di jaringan mereka tergabung dalam botnet Kimwolf. Jika terdeteksi terinfeksi, perangkat TV box disarankan untuk dihapus sepenuhnya atau dimusnahkan, karena infeksi cenderung bertahan meskipun dilakukan reset biasa.

Sebagai langkah pencegahan, pengguna disarankan menghindari perangkat Android murah tanpa sertifikasi resmi. Memilih perangkat dengan sertifikasi keamanan dan perlindungan bawaan dari produsen tepercaya dinilai jauh lebih aman dibandingkan menggunakan TV box generik berbiaya rendah.