Security

Google Bantu Lumpuhkan Botnet NetNut, Putus Akses ke 2 Juta Perangkat Android yang Terinfeksi

Google bersama sejumlah mitra industri dan aparat penegak hukum berhasil mengganggu operasional NetNut, salah satu jaringan residential proxy terbesar di dunia yang memanfaatkan sekitar 2 juta perangkat Android yang telah terinfeksi malware.

Operasi gabungan ini melibatkan Google Threat Intelligence Group (GTIG), FBI, Lumen Technologies, The Shadowserver Foundation, serta berbagai mitra keamanan siber lainnya.

Memanfaatkan Jutaan Perangkat Korban

Menurut Google, NetNutโ€”yang juga dikenal dengan nama Popaโ€”mengendalikan sedikitnya 2 juta perangkat di seluruh dunia.

Perangkat yang terdampak meliputi:

  • smartphone Android;
  • Android TV;
  • smart TV;
  • streaming box;
  • perangkat lain yang menjalankan aplikasi berbahaya.

Sebagian besar perangkat terinfeksi melalui aplikasi trojan atau malware yang telah ditanamkan sebelum perangkat dijual maupun dipasang setelah pengguna menginstal aplikasi berbahaya.

Apa Itu Residential Proxy?

Residential proxy adalah layanan yang memanfaatkan alamat IP milik pengguna rumahan untuk meneruskan lalu lintas internet.

Dalam kasus NetNut, perangkat korban dijadikan exit node, sehingga pelaku kejahatan siber dapat menyamarkan aktivitas mereka seolah-olah berasal dari koneksi internet rumah biasa.

Teknik ini membuat berbagai aktivitas berbahaya menjadi lebih sulit dilacak, seperti:

  • serangan password spraying;
  • akses ke infrastruktur milik pelaku;
  • penyamaran aktivitas spionase siber;
  • penyusupan ke jaringan korban.

Selain itu, alamat IP milik korban juga berisiko masuk daftar blokir layanan internet akibat digunakan untuk aktivitas kriminal tanpa sepengetahuan pemilik perangkat.

Domain NetNut Disita FBI

Dalam operasi tersebut, FBI menyita salah satu domain utama yang digunakan jaringan ini, termasuk netnut.com.

Google juga memutus akses operator NetNut ke infrastruktur penting yang digunakan sebagai command-and-control (C2) dengan menonaktifkan akun dan layanan Google yang dimanfaatkan untuk mengendalikan malware.

Langkah tersebut membuat operator kehilangan akses ke sebagian besar infrastruktur pengendali botnet.

Google Play Protect Ikut Melindungi Pengguna

Google turut mengambil sejumlah langkah untuk melindungi pengguna Android.

Perusahaan:

  • mengaktifkan peringatan otomatis kepada pengguna yang terdampak;
  • menonaktifkan aplikasi berbahaya melalui Google Play Protect;
  • membagikan indikator kompromi (IOC) dan informasi teknis kepada penyedia platform, peneliti keamanan, dan aparat penegak hukum.

Dengan demikian, penyebaran malware yang menjadi bagian dari jaringan NetNut dapat ditekan lebih cepat.

Digunakan Ratusan Kelompok Peretas

GTIG mengungkapkan bahwa hanya dalam satu minggu pada bulan lalu, mereka mengamati 316 kelompok ancaman berbeda yang menggunakan node NetNut.

Kelompok tersebut terdiri dari:

  • pelaku kejahatan siber;
  • operator ransomware;
  • kelompok spionase siber.

Hal ini menunjukkan bahwa NetNut bukan hanya digunakan oleh satu kelompok tertentu, melainkan menjadi infrastruktur bersama bagi berbagai pelaku ancaman.

Industri Residential Proxy Saling Terhubung

Google juga menilai dampak operasi ini akan terasa luas karena NetNut memiliki program reseller yang memungkinkan layanan proxy tersebut dijual kembali dengan merek berbeda.

Menurut peneliti Google, banyak layanan residential proxy populer sebenarnya saling membeli dan menjual kapasitas botnet satu sama lain.

Karena itu, lumpuhnya NetNut diperkirakan akan mengganggu ekosistem proxy ilegal secara keseluruhan, meskipun sebagian operator kemungkinan akan beralih ke penyedia lain.

Operasi ini menjadi bagian dari upaya berkelanjutan Google untuk membongkar jaringan botnet residential proxy, setelah sebelumnya perusahaan juga berhasil mengganggu operasi IPIDEA pada awal tahun ini.


Sumber: Google Threat Intelligence Group (GTIG)

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button