Ботнет Kimwolf, представляющий собой Android-ветку известной малвари Aisuru, за считаные месяцы превратился в одну из самых масштабных сетей зараженных устройств. По оценкам аналитиков Synthient, на сегодняшний день под его контролем находится уже почти два миллиона Android-хостов, а каждую неделю ботнет задействует порядка 12 миллионов уникальных IP-адресов.
Происхождение Kimwolf и связь с рекордными DDoS-атаками
Kimwolf является продолжением развития малвари Aisuru, которая ранее была задействована в одной из крупнейших за всю историю DDoS-атак. Согласно данным Cloudflare, мощность той атаки достигала 29,7 Тбит/с, что демонстрирует потенциал подобной инфраструктуры при массированном использовании зараженных устройств.
Рост активности Kimwolf эксперты фиксируют с августа прошлого года. Исследователи QiAnXin XLab сообщали, что к началу декабря 2025 года ботнет уже включал более 1,8 млн скомпрометированных Android-устройств. Последующие наблюдения Synthient показывают, что эта цифра быстро приближается к отметке в два миллиона, а кампания по заражению продолжается.
Большая часть инфицированных гаджетов обнаружена во Вьетнаме, Бразилии, России, Индии и Саудовской Аравии. Характерно, что многие из них — это недорогие Android-приставки и стриминговые устройства, которые используются в домашних сетях и зачастую поставляются с уже предустановленными прокси-SDK.
Роль резидентных прокси-сетей в экспансии ботнета Kimwolf
Ключевым фактором стремительного роста ботнета стала эксплуатация резидентных прокси-сетей. Такие сети строятся на базе пользовательских устройств (ПК, смартфоны, приставки), на которые устанавливаются специальные SDK или приложения, превращающие гаджеты в узлы прокси-сети. Через них затем пропускается чужой трафик — в том числе трафик злоумышленников.
По данным Synthient, операторы Kimwolf активно используют прокси-провайдеров, которые разрешают доступ к локальным IP-адресам и широкому диапазону портов. Это создает для атакующих прямой маршрут к устройствам, работающим в той же внутренней сети, что и клиент прокси. В результате злоумышленники получают возможность атаковать Android-приставки и прочие устройства, которые с внешнего интернета казались недоступными.
Эксплуатация открытого Android Debug Bridge (ADB)
С ноября 2025 года аналитики фиксируют всплеск активности сканирования неаутентифицированных сервисов Android Debug Bridge (ADB) через прокси-эндпоинты. ADB — это встроенный инструмент для отладки Android-устройств, позволяющий удаленно управлять системой, устанавливать приложения и выполнять команды.
Kimwolf ищет устройства с открытым ADB на портах 5555, 5858, 12108 и 3222. Во многих бюджетных приставках и ТВ-боксах ADB включен по умолчанию и не требует аутентификации. Анализ прокси-пула IPIDEA показал, что около 67% Android-устройств, доступных через эту сеть, не запрашивали авторизацию, что делает их крайне уязвимыми к удаленному выполнению кода.
По результатам сканирования исследователи выявили примерно шесть миллионов потенциально уязвимых IP-адресов. Причем часть устройств поступает на рынок уже с установленными SDK от прокси-провайдеров, то есть фактически — с готовым каналом для злоупотреблений.
Цепочка заражения: от ADB-доступа до DDoS и продажи прокси
После успешного подключения к открытому ADB злоумышленники загружают полезную нагрузку с помощью утилит netcat или telnet, передавая shell-скрипты непосредственно на устройство. Скрипты сохраняются, в частности, в каталоге /data/local/tmp и затем выполняются локально, устанавливая компоненты Kimwolf и связывая устройство с управляющей инфраструктурой ботнета.
Зараженные Android-приставки используются не только как участники DDoS-атак. Они также перепродаются как часть анонимных прокси-сетей и монетизируются через установку приложений, содержащих сторонние SDK, такие как Plainproxies Byteconnect. Это позволяет операторам ботнета одновременно зарабатывать на аренде трафика, клик-фроду и участии в сетевых атаках.
Реакция прокси-провайдеров и риски для конечных пользователей
Одним из наиболее пострадавших провайдеров стала платформа IPIDEA, интересная операторам Kimwolf тем, что предоставляла доступ ко всем портам, включая локальные. После уведомления от Synthient компания в конце декабря ограничила доступ к локальным сетям и заблокировала широкий диапазон портов, что должно снизить возможности для дальнейшей эксплуатации.
В целом исследователи направили около десятка отчетов об уязвимостях основным прокси-провайдерам, вовлеченным в эту кампанию. Однако точно определить весь перечень сервисов, которые используются в инфраструктуре Kimwolf, пока не удалось, что подчеркивает масштаб и распределенный характер экосистемы резидентных прокси.
Для конечных пользователей риски заключаются в том, что многие Android-приставки и «умные» устройства изначально поставляются с предустановленными SDK или приложениями, превращающими гаджет в узел прокси-сети. В сочетании с включенным по умолчанию ADB это создает готовую точку входа для ботнетов без какого-либо участия владельца устройства.
Ситуация вокруг Kimwolf демонстрирует, насколько опасным может быть сочетание резидентных прокси, слабой конфигурации безопасности и незащищенного ADB в недорогих Android-устройствах. Для снижения рисков рекомендуется отключать ADB на приставках и ТВ-боксах, ограничивать доступ к локальной сети, своевременно устанавливать обновления прошивок и тщательно проверять установленные приложения и их разрешения. Организациям стоит инвентаризировать все подключенные IoT- и Android-устройства, блокировать несанкционированные прокси-SDK и применять сетевую сегментацию. Чем быстрее такие меры будут внедрены массово, тем сложнее будет операторам ботнетов использовать домашние и корпоративные сети в качестве инфраструктуры для DDoS-атак и скрытых прокси-сервисов.
