Selama empat tahun terakhir, sebuah botnet berbasis Android berskala besar yang dikenal dengan nama 'Popa' telah menginfeksi jutaan perangkat TV box konsumen. Botnet ini berfungsi untuk merelai lalu lintas internet yang digunakan dalam berbagai aktivitas ilegal, mulai dari penipuan iklan, pengambilalihan akun pengguna, hingga upaya pengumpulan data secara massal. Temuan terbaru dari berbagai firma keamanan siber mengindikasikan bahwa jaringan botnet ini memiliki keterkaitan erat dengan NetNut, sebuah penyedia layanan proksi residensial yang dioperasikan oleh Alarum Technologies Ltd, perusahaan yang melantai di bursa saham NASDAQ.
Berbeda dengan botnet tradisional yang biasanya digunakan untuk serangan siber destruktif seperti Distributed Denial of Service (DDoS), Popa memiliki tujuan yang lebih spesifik. Ia dirancang untuk membangun lapisan komunikasi persisten yang memungkinkan registrasi perangkat, pemeliharaan koneksi terenkripsi jangka panjang, dan pembukaan terowongan komunikasi sesuai permintaan. Para ahli keamanan menyebut bahwa Popa merupakan komponen plugin yang terasosiasi dengan kampanye malware Vo1d, yang secara luas menyasar perangkat TV box Android tidak resmi.
Perangkat TV box yang menjadi sasaran Popa sering kali dipasarkan dengan berbagai merek dan model melalui situs e-commerce populer. Perangkat ini menawarkan akses ke ribuan layanan video berlangganan dengan biaya satu kali bayar yang murah. Namun, di balik kemudahannya, perangkat ini sering kali menyertakan perangkat lunak tersembunyi yang mengubah perangkat pengguna menjadi titik proksi residensial, memungkinkan pihak ketiga untuk merutekan lalu lintas internet mereka melalui jaringan rumah korban tanpa sepengetahuan pemiliknya.
Risiko ini menjadi semakin mengkhawatirkan karena banyak jaringan proksi tersebut tidak memiliki pengamanan yang memadai untuk mencegah pelanggan jahat dalam menyalahgunakan akses tersebut. Hal ini memungkinkan peretas untuk berkomunikasi dengan sistem lain di jaringan lokal pemilik perangkat, yang secara efektif membuka pintu bagi upaya peretasan lebih lanjut ke perangkat lain yang terhubung dalam satu jaringan rumah yang sama.
Jejak awal asal-usul Popa ditemukan dalam laporan tahun 2025 dari firma keamanan asal Tiongkok, XLAB, yang mengidentifikasi sembilan domain utama yang mengendalikan perangkat yang terinfeksi. Investigasi lebih lanjut oleh firma keamanan Qurium menemukan bahwa domain-domain tersebut, seperti gmslb[.]net dan ninjatech[.]io, digunakan dalam serangkaian serangan pengumpulan data (data scraping) masif yang melibatkan lebih dari 1,4 juta alamat IP unik di seluruh dunia.
Qurium juga menemukan bahwa kode pengendali Popa tertanam dalam puluhan aplikasi streaming konten bajakan yang populer di kalangan pengguna Android. Penemuan ini menegaskan bahwa ekosistem aplikasi tidak resmi menjadi pintu masuk utama bagi penyebaran malware. Pengguna yang mengunduh aplikasi streaming modifikasi berisiko tinggi menjadikan perangkat TV mereka sebagai bagian dari infrastruktur kriminal siber global yang dikelola oleh entitas komersial.