Installer Palsu 7-Zip Ubah Perangkat Jadi Node Proxy Residential Berbahaya
Peneliti keamanan siber baru-baru ini mengungkap aktivitas kelompok ancaman baru bernama Lurking Lizard yang menjalankan bisnis ilegal proxy residential secara end-to-end dengan infrastruktur lebih dari 230 domain mirip. Kampanye ini telah berlangsung setidaknya sejak Agustus 2022, menurut firma intelijen ancaman DNS, Infoblox.
Modus Operandi Installer Palsu 7-Zip dan Infrastruktur Proxy
Salah satu contoh serangan yang terdeteksi awal tahun ini melibatkan penggunaan installer 7-Zip palsu yang disusupi malware, di-hosting pada domain 7zip[.]com yang menyerupai situs resmi 7-Zip. Installer ini diam-diam mengubah perangkat korban menjadi node proxy residential yang digunakan untuk mengalihkan lalu lintas internet pihak ketiga.
Lurking Lizard juga meniru penyedia proxy ternama seperti IPIDEA, SmartProxy (sekarang Decodo), IP Royal, dan 911Proxy. Mereka bahkan menjalankan situs review palsu yang dirancang untuk mengarahkan trafik ke toko online scam mereka.
Menariknya, infrastruktur IPIDEA sendiri telah dibongkar oleh Google pada Januari 2026, namun kelompok ini tetap menggunakan metode serupa.
Jejak Digital dan Teknik Drop-Catching Domain
Analisis WHOIS dan sidik jari infrastruktur mengindikasikan Lurking Lizard berasal dari China. Mereka juga memakai VPN populer dan layanan seperti HeroSMS sebagai kedok untuk menyebarkan malware proxy ini.
Salah satu strategi utama yang digunakan adalah drop-catching—membeli domain yang sudah habis masa berlakunya untuk memanfaatkan reputasi dan sejarah domain tersebut. Contohnya, mereka memanfaatkan domain yang sering salah diketik seperti "7zip[.]com" padahal domain resmi adalah "7-zip[.]org".
Perluasan Kampanye dan Varian Aplikasi Mobile
Analisis URL IPLogger yang terkait dengan kampanye 7-Zip ini menunjukkan bahwa infrastruktur yang sama juga dipakai untuk menyebarkan installer palsu WhatsApp, aplikasi yang mengaku sebagai downloader TikTok dan YouTube, serta aplikasi WireVPN palsu.
Kampanye ini kini menyasar berbagai sistem operasi, termasuk Android, macOS, dan Windows. Salah satu aplikasi Android dengan nama "wirevpn - Fast Unlimited Proxy" yang dikembangkan oleh perusahaan asal Inggris, WEILAI NETWORK TECHNOLOGY CO., LIMITED, telah diunduh lebih dari 1 juta kali. Namun, belum jelas apakah unduhan tersebut organik atau hasil manipulasi.
"Dalam kampanye 7-Zip asli, korban diarahkan ke installer berbahaya melalui konten tutorial, pencarian di internet, dan domain mirip," ujar Infoblox. "Meski belum jelas apakah teknik serupa juga digunakan untuk varian desktop saat ini, aplikasi mobile dapat menjadi saluran akuisisi tambahan."
Ekosistem Bisnis Proxy Residential Ilegal
Belum diketahui apakah aplikasi mobile juga memiliki fungsi proxy yang sama, yakni menjadi exit node untuk lalu lintas pihak ketiga seperti pada aplikasi desktop. Namun secara keseluruhan, pola ini mencerminkan bisnis proxy ilegal yang terorganisasi dengan ekosistem mulai dari akuisisi korban, infrastruktur proxy, pemasaran, hingga monetisasi.
Operasi ini berjalan dalam dua tahap utama:
- Installer trojan, aplikasi mobile, dan umpan lainnya merekrut perangkat korban ke dalam botnet proxy yang dikendalikan aktor.
- Pool perangkat tersebut dimonetisasi lewat merek layanan proxy tiruan, dibantu oleh situs review palsu untuk mengarahkan trafik ke toko online scam.
Menurut Infoblox, aktivitas ini mirip dengan fenomena malvertising yang mengganggu iklan afiliasi, di mana perangkat seperti TV pintar menjadi bagian botnet besar yang melakukan serangan siber. Namun realitasnya jauh lebih kompleks dan solusi efektif masih sulit ditemukan.
"Lurking Lizard tidak hanya menjalankan satu kampanye malware, tapi mengelola banyak tahap siklus hidup proxy residential selama bertahun-tahun, mulai dari mendapatkan perangkat korban hingga memasarkan dan menjual akses ke jaringan itu," jelas Infoblox.
Konteks dan Dampak Terbaru
Pengungkapan ini muncul tak lama setelah Google mengumumkan penurunan signifikan jaringan proxy residential NetNut (alias Popa), yang mengubah lebih dari 2 juta perangkat seperti TV pintar dan perangkat streaming menjadi jalur lalu lintas tidak sah melalui SDK berbahaya yang terpasang sebelum pembelian atau aplikasi berisi kode proxy tersembunyi.
Google memperingatkan risiko besar bagi pemilik perangkat yang tidak curiga, karena alamat IP rumah mereka dapat digunakan pelaku kejahatan untuk melancarkan serangan dan aktivitas ilegal lain. Akibatnya, lalu lintas sah pengguna bisa dicurigai atau diblokir oleh penyedia layanan.
Informasi lebih lengkap bisa dilihat pada sumber asli The Hacker News.
Analisis Redaksi
Menurut pandangan redaksi, pengungkapan Lurking Lizard ini menegaskan bahwa ancaman proxy residential ilegal semakin terstruktur dan masif, melibatkan skema yang tidak hanya menyebarkan malware tapi juga strategi pemasaran dan penipuan yang kompleks. Ini bukan sekadar soal malware biasa, melainkan sebuah ekosistem kriminal digital yang menghubungkan berbagai lapisan mulai dari distribusi hingga monetisasi.
Yang menjadi perhatian utama adalah teknik drop-catching domain yang memanfaatkan kepercayaan pengguna terhadap nama domain yang mirip, sehingga korban terjebak tanpa sadar. Ini menjadi peringatan penting bagi pengguna internet agar lebih hati-hati memeriksa sumber aplikasi dan installer sebelum mengunduh.
Ke depan, pengawasan ketat terhadap domain dan aplikasi palsu serta edukasi masyarakat terkait keamanan digital harus terus ditingkatkan. Selain itu, kolaborasi lintas industri dan penegak hukum internasional menjadi kunci untuk menekan aktivitas botnet proxy residential yang semakin merajalela dan berpotensi merusak ekosistem internet global.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0