Kimwolf: Анализ гигантского Android-ботнета, заразившего более 1,8 млн устройств

Изначально образец Kimwolf был предоставлен доверенными партнерами из сообщества информационной безопасности 24 октября 2024 года. Примечательно, что его домен управления и контроля (C2, Command and Control) на тот момент занимал второе место в рейтинге популярности Cloudflare, а через неделю и вовсе стал первым, обогнав google.com. Это прямо указывало на аномально высокий трафик, генерируемый армией зараженных устройств. В ходе анализа выяснилось, что вредонос использует библиотеку wolfssl, что и дало ему имя Kimwolf.

Этот ботнет, скомпилированный с помощью NDK (Native Development Kit), обладает типичным для подобных угроз функционалом: организация DDoS-атак, прокси-трафик, обратные оболочки (reverse shell) и управление файлами. Однако его архитектура содержит несколько уникальных особенностей. Например, для шифрования конфиденциальных данных, таких как адреса C2, применяется простая, но эффективная операция XOR на стеке (Stack XOR). Для разрешения доменных имен в обход традиционных систем обнаружения используется DNS over TLS (DoT). Кроме того, для аутентификации ботнета применяется механизм цифровой подписи на основе эллиптических кривых (ECDSA). Бот проверяет подпись, полученную от C2, и только после этого начинает выполнять команды.

Позднее в арсенале Kimwolf появилась технология EtherHiding, которая использует домены на блокчейне (например, через Ethereum Name Service, ENS) для повышения устойчивости инфраструктуры к блокировкам. Основной целью злоумышленников являются Android-телевизоры и ТВ-боксы, что подтверждается сообщением "Добро пожаловать в Android Support Center", отображаемым в панели управления C2.

Оценка истинного масштаба

30 ноября экспертам XLab удалось перехватить один из доменов C2, используемых в пятой версии (v5) ботнета. Это предоставило уникальную возможность напрямую оценить размер сети. В период с 3 по 5 декабря было зафиксировано подключение с приблизительно 2,7 миллионов уникальных IP-адресов. Пик активности пришелся на 4 декабря - около 1,83 миллионов IP за сутки.

Важно понимать, что эти цифры не эквивалентны количеству зараженных устройств. Большинство инфицированных ТВ-боксов находятся в домашних сетях с динамическими IP-адресами, которые регулярно меняются. Более того, исследователи контролировали лишь часть инфраструктуры C2. События 4 декабря, когда некоторые легитимные серверы Kimwolf были заблокированы неизвестной стороной, привели к массовому переподключению ботов к перехваченному домену, что, вероятно, и показало пиковые значения. С учетом этих факторов, а также глобального распределения устройств по разным часовым поясам, консервативная оценка количества зараженных устройств превышает 1,8 миллиона.

Связь с ботнетом Aisuru и эскалация атак

В ходе расследования была обнаружена глубокая связь между Kimwolf и другим крупным ботнетом - Aisuru. Анализ показал, что ранние версии Kimwolf распространялись внутри APK-файлов, которые также содержали образцы Aisuru. Оба семейства использовали идентичные сертификаты для подписи приложений с уникальным и легко идентифицируемым именем (Common Name). Кроме того, был обнаружен скрипт загрузчика (Downloader), который напрямую ассоциировал компоненты обоих ботнетов. Наиболее убедительным доказательством стала повторное использование инфраструктуры Aisuru, такой как репортер (reporter) с именем "tiananmeng", в новых образцах, что исключает гипотезу об утечке кода третьим лицам. Таким образом, с высокой долей уверенности можно утверждать, что Kimwolf и Aisuru управляются одной и той же хакерской группировкой.

Поведение Kimwolf характеризуется не только масштабом, но и агрессивностью. Система мониторинга инструкций XLab зафиксировала, что с 19 по 22 ноября ботнет за три дня отправил своим узлам ошеломляющие 1,7 миллиарда команд на проведение DDoS-атак. Целями стали случайные IP-адреса по всему миру. Подобная "ковровая" атака, скорее всего, не могла нанести существенного ущерба отдельным целям и, по мнению аналитиков, была призвана продемонстрировать мощь и присутствие злоумышленников.

Технические особенности и эволюция

Kimwolf демонстрирует заметную эволюцию от версии v4 к v5. Ранние версии отличались обилием текстовых выводов в консоль, содержащих политические лозунги и личные выпады, например, против известного журналиста по кибербезопасности Брайана Кребса. В v5 эта "болтливость" была убрана.

Ключевое техническое отличие заключается в способе получения реального IP-адреса C2. Если v4 напрямую запрашивал A-запись домена, то v5 применяет дополнительную операцию XOR к полученному адресу. Для противодействия блокировкам в декабре была внедрена технология EtherHiding. Теперь образец запрашивает текстовую запись (TXT record) у ENS-домена, например, pawsatyou.eth, в которой зашифрован адрес C2. Даже если этот адрес будет заблокирован, злоумышленники могут быстро обновить запись в смарт-контракте Ethereum, что делает инфраструктуру крайне устойчивой к традиционным методам изъятия (takedown).

Для обеспечения единственности запущенного экземпляра на устройстве Kimwolf создает Unix-сокет с характерным именем, содержащим строку @niggaboxv[число]. Сетевое общение с C2 всегда проходит через TLS. После установления соединения происходит трехэтапное рукопожатие с использованием ECDSA-подписи для взаимной аутентификации. Поддерживается 13 различных векторов DDoS-атак, унаследованных от исходного кода Mirai.

Мотивы и монетизация

Помимо DDoS, основная функция ботнета - организация прокси-сети, на которую приходится около 96,5% всех команд. Это указывает на коммерческие интересы группировки. Аналитики также обнаружили дополнительные компоненты, такие как прокси-клиент на Rust и сторонний монетизационный SDK под названием ByteConnect. Последний позиционируется как легкое решение для заработка на пропускной способности устройств. По расчетам самих разработчиков ByteConnect, сеть размером в 1,8 миллиона устройств могла бы приносить злоумышленникам до 88 200 долларов в месяц.

Выводы и рекомендации

Появление таких ботнетов, как Kimwolf и Aisuru, знаменует опасный тренд: хакеры переключают внимание с традиционных IoT-устройств на умные телевизоры и ТВ-боксы. Эти устройства часто имеют уязвимое прошивки, слабые пароли по умолчанию и не получают своевременных обновлений безопасности, что делает их легкой и долговременной добычей.

Заражение подобных устройств несет риски не только для киберпространства. Получив контроль, злоумышленники потенциально могут манипулировать медиаконтентом, например, показывая сфальсифицированные или экстремистские видео, что создает прямую угрозу общественной безопасности и стабильности.

Для противодействия этой угрозе необходимы совместные усилия. Пользователям следует приобретать устройства из надежных источников, регулярно обновлять прошивку, устанавливать сложные пароли и избегать установки непроверенных APK-файлов. Производителям и регуляторам важно ужесточить требования к безопасности встроенного ПО и обеспечить своевременный цикл обновлений. Раскрытие информации об угрозах, подобных Kimwolf, - ключевой шаг для мобилизации глобального сообщества кибербезопасности на борьбу с этими масштабными и опасными сетевыми угрозами.

IPv4

• 93.95.112.50
• 93.95.112.51
• 93.95.112.52
• 93.95.112.53
• 93.95.112.54
• 93.95.112.55
• 93.95.112.59

Domains

• api.groksearch.net
• fuckzachebt.meowmeowmeowmeowmeow.meow.indiahackgod.su
• lol.713mtauburnctcolumbusoh43085.st
• lolbroweborrowtvbro.713mtauburnctcolumbusoh43085.st
• nnkjzfaxkjanxzk.14emeliaterracewestroxburyma02132.su
• rtrdedge1.samsungcdn.cloud
• sdk-dl-prod.proxiessdk.online
• sdk-dl-production.proxiessdk.store
• staging.pproxy1.fun
• zachebt.chachasli.de
• zachebt.groksearch.net

MD5

• 1c03d82026b6bcf5acd8fc4bcf48ed00
• 2078af54891b32ea0b1d1bf08b552fe8
• 2fd5481e9d20dad6d27e320d5464f71e
• 33435ec640fbd3451f5316c9e45d46e8
• 34dfa5bc38b8c6108406b1e4da9a21e4
• 3a172e3a2d330c49d7baa42ead3b6539
• 4cd750f32ee5d4f9e335751ae992ce64
• 51cfe61eac636aae33a88aa5f95e5185
• 5490fb81cf24a2defa87ea251f553d11
• 5f4ed952e69abb337f9405352cb5cc05
• 726557aaebee929541f9c60ec86d356e
• 8011ed1d1851c6ae31274c2ac8edfc06
• 85ba20e982ed8088bb1ba7ed23b0c497
• 887747dc1687953902488489b805d965
• 9053cef2ea429339b64f3df88cad8e3f
• 95efbc9fdc5c7bcbf469de3a0cc35699
• 9b37f3bf3b91aa4f135a6c64aba643bd
• b1d4739d692d70c3e715f742ac329b05
• b688c22aabcd83138bba4afb9b3ef4fc
• b89ee1304b94f0951af31433dac9a1bd
• bda398fcd6da2ddd4c756e7e7c47f8d8
• bf06011784990b3cca02fe997ff9b33d
• cf7960034540cd25840d619702c73a26
• d086086b35d6c2ecf60b405e79f36d05
• dfe8d1f591d53259e573b98acb178e84
• e4be95de21627b8f988ba9b55c34380c
• e96073b7ed4a8eb40bed6980a287bc9f
• ea7e4930b7506c1a5ca7fee10547ef6b
• f8a70ca813a6f5123c3869d418f00fe5