Андроид-ботнет Kimwolf заразил 1,8 млн устройств через TV-приставки

Исследовательские группы Qianxin XLab и Synthient Research детально проанализировали эту киберпреступную операцию. Ботнет, собранный с использованием Android Native Development Kit (NDK), обладает функционалом для DDoS-атак, прокси-переадресации, управления файлами и создания обратных оболочек. Для защиты своей инфраструктуры операторы применяют XOR-шифрование стеков, DNS через TLS (DoT) для обхода обнаружения и аутентификацию на основе эллиптических кривых для связи с командными серверами (C2).

Распространение вредоноса происходит преимущественно через уязвимости в сетях резидентских прокси. Злоумышленники используют сервисы вроде IPIDEA для туннелирования в локальные сети и атакуют устройства с открытым и неаутентифицированным Android Debug Bridge (ADB) на порту 5555. По данным аналитиков, около двух третей заражений приходится на Android TV-приставки, которые часто поставляются с предустановленным вредоносным ПО или требуют установки неофициальных приложений для потоковой передачи пиратского контента.

Эти устройства, продающиеся под различными малоизвестными брендами на крупных маркетплейсах, изначально имеют включённый режим отладки. Это позволяет злоумышленникам удалённо настраивать их и устанавливать вредоносную полезную нагрузку (payload). Взятие под контроль одного из доменов C2 показало, что пиковое количество ежедневно активных заражённых IP-адресов приближается к 1,83 миллиона.

Монетизация ботнета Kimwolf строится на продаже прокси-трафика, накрутке установок приложений и предоставлении услуг по проведению DDoS-атак. Операторы демонстрируют высокую агрессивность. Так, за три дня ноября 2025 года ботнет отправил около 1,7 миллиарда команд для DDoS-атак, цели выбирались практически бессистемно. Зафиксировано участие в атаках мощностью до 30 Тбит/с.

Для повышения устойчивости инфраструктуры разработчики Kimwolf внедрили технику EtherHiding, используя домены Ethereum Name Service (ENS) для размещения скриптов управления. Это значительно затрудняет мероприятия по ликвидации ботнета. Более того, обнаружена прямая связь с другим семейством вредоносов - Aisuru. Сходство в коде, файлах APK и инфраструктуре указывает на общую группу злоумышленников, которая перерабатывает и улучшает инструменты для повышения скрытности на платформе Android.

Угроза подрывает базовые предположения о безопасности локальных сетей. Скомпрометированные мобильные устройства или гостевые подключения могут стать точкой входа для атак на внутренние системы. Некоторые прокси-провайдеры уже внедрили меры противодействия, например, блокировку внутренних DNS-запросов и доступ к опасным портам. Однако скорость восстановления ботнета остаётся пугающей. После совместных операций по его ликвидации сеть вновь набирала миллионы узлов за считанные дни.

Эксперты подчёркивают, что противодействие таким развивающимся угрозам требует постоянного совместного отслеживания и обмена разведданными между исследовательскими группами и правоохранительными органами. Для рядовых пользователей рекомендации остаются стандартными: приобретать электронику у официальных поставщиков, регулярно обновлять прошивки, отключать неиспользуемые сетевые службы вроде ADB и с осторожностью относиться к установке приложений из непроверенных источников.

SHA256

• 06edf74e08b8362c4c9f7c4df060e4637f102d05f92c5b34102c8fd61aaee502
• 0a1e1ae2f89aa93805cc416e779613481cef6dfc41edd7d12892d2bf96bfa9e7
• 0d95eb2c0ca2b2c9e464f2acbc5739082485b8dcbce7dde8383203151197b3b3
• 327c1180e38bf0c9de23dcc3620f722343c7e944adc40852015436e546340bd6
• 421111a57b0a4224c052fa4108d90429d579974b5b5111ed2e58516ba09422ca
• 54c478b499829a41f57edf93753b9842ab67dc13cff2cc1326ad7ced2f3dc0b9
• 5a9aa70db6a015ffc1b5973c5315c4f18550c44e914d81581a135fd804995f53
• 5d20d2942d39c79e971bac7de90de11b23308195b0ea06d4009fc561c6da7199
• 77366b3b2dc016fea0f8461a1cb06e089b9186059a73d67e6ba28d088c06431d
• 7e1936aa8a9baaac0e712d7493e4f175c7382bfd4bd57bba027263fc272dfbbf
• 84cf4aac1e063394be3be68fea3cb9526e567c0aeaaf39b4834411970c00921e
• 868636305b532ac4d29227ac947c0fbcd02fbda84cc526cf0549e5a8a1ccd834
• 90e3b997161e33c6485b48182073a864dd3d0775ab96cadbf1b7c9dd4821c6d1
• 9c531d10f5027968464b5aa251adad4a54a77be1774c507c73e501c202fa258b
• c26babed19fd2a77d9232d358c34f261dce288de6a04540bdd02cfb4f137639d
• eb477eba5f96b8340b7ee8d364cf9ceb7c804075837aba4c52c96d6e3ddfe62e
• f3eb74db6f759cf468f41eb1184216c2386942b9aaf18ae91eb24bbeeafab3a2