Das Android-Botnet Kimwolf hat sich innerhalb weniger Monate zu einer der groessten derzeit bekannten Botnet-Infrastrukturen auf Basis von Android-Geraeten entwickelt. Analysen von Synthient zufolge stehen inzwischen fast zwei Millionen kompromittierte Android-Hosts unter Kontrolle der Betreiber, die woechentlich rund 12 Millionen eindeutige IP-Adressen fuers Botnet-Traffic-Volumen nutzen.
Kimwolf gilt als Android-Ableger der Malware-Familie Aisuru, die bereits frueher fuer eine der leistungsstaerksten dokumentierten DDoS-Attacken eingesetzt wurde. Laut Cloudflare erreichte diese Attacke eine Spitzenlast von 29,7 Tbit/s. Dieses Niveau zeigt, welches Schadenspotenzial eine so grossflaechig verteilte IoT- und Android-Infrastruktur bei koordinierten DDoS-Kampagnen entfalten kann.
Herkunft von Kimwolf und rasanter Aufbau des Android-Botnetzes
Die Aktivitaet von Kimwolf laesst sich seit August des vergangenen Jahres deutlich nachverfolgen. Forscher von QiAnXin XLab meldeten, dass das Botnet bereits Anfang Dezember 2025 ueber mehr als 1,8 Millionen infizierte Android-Geraete verfuegte. Neuere Beobachtungen von Synthient zeigen, dass diese Zahl sich der Marke von zwei Millionen Hosts naehert – Tendenz weiter steigend.
Schwerpunkte der Infektionen finden sich in Vietnam, Brasilien, Russland, Indien und Saudi-Arabien. Besonders haeufig betroffen sind guenstige Android-TV-Boxen, Streaming-Sticks und Set-Top-Boxen, die in Heimnetzen betrieben werden. Viele dieser Geraete werden mit vorinstallierten Proxy-SDKs ausgeliefert und weisen nur minimale Sicherheitskonfigurationen auf.
Residential-Proxies als Verstärker fuer Kimwolf
Ein wesentlicher Treiber der Ausbreitung von Kimwolf ist der Missbrauch sogenannter residential Proxies. Dabei werden ganz normale Endgeraete – PCs, Smartphones, TV-Boxen – durch SDKs oder spezielle Apps in Knoten einer Proxy-Infrastruktur verwandelt. Ueber diese Endpunkte laesst sich anschliessend fremder Traffic tunneln, inklusive Angriffs-Traffic von Cyberkriminellen.
Nach Erkenntnissen von Synthient setzen die Betreiber von Kimwolf gezielt auf Proxy-Anbieter, die Zugriff auf lokale IP-Adressen und einen sehr breiten Portbereich erlauben. Dadurch erhalten Angreifer einen indirekten, aber effektiven Zugang zu Geraeten im gleichen Heim- oder Unternehmensnetz wie der Proxy-Client. Android-TV-Boxen und aehnliche Geraete, die von aussen scheinbar nicht erreichbar sind, werden so dennoch direkt angreifbar.
Ausnutzung offener Android Debug Bridge (ADB)
Seit November 2025 beobachten Analysten eine deutliche Zunahme von Scans auf nicht authentifizierte Android Debug Bridge (ADB)-Dienste, die ueber diese Proxy-Endpunkte erreichbar sind. ADB ist ein offizielles Debugging-Interface von Android, mit dem sich Geraete fernsteuern, Apps installieren und Systembefehle ausfuehren lassen.
Kimwolf sondiert insbesondere die Ports 5555, 5858, 12108 und 3222 auf offene ADB-Instanzen. Auf zahlreichen guenstigen TV-Boxen und Android-Set-Top-Geraeten ist ADB ab Werk aktiviert und ohne Authentifizierung zugaenglich. Eine Auswertung des Proxy-Pools von IPIDEA ergab, dass rund 67 % der via diesem Dienst erreichbaren Android-Geraete keinerlei Zugangskontrolle fuer ADB implementiert hatten – ein direkter Angriffsvektor fuer Remote Code Execution.
In Summe identifizierten Forscher anhand breit angelegter Scans etwa sechs Millionen potenziell verwundbare IP-Adressen. Brisant ist, dass manche dieser Geraete bereits mit integrierten Proxy-SDKs ausgeliefert werden und somit von Beginn an als verdeckte Proxy-Knoten fungieren.
Infektionskette: Von offenem ADB-Port zum vollwertigen Bot
Gelingt der Zugang ueber einen offenen ADB-Port, uebertragen die Angreifer ihre Malware entweder per netcat oder telnet. Shell-Skripte werden direkt auf das Geraet gestreamt, meist in Verzeichnisse wie /data/local/tmp geschrieben und anschliessend ausgefuehrt. Diese Skripte installieren die Kimwolf-Komponenten, verankern sich im System und verbinden das Geraet mit der Command-and-Control-Infrastruktur des Botnetzes.
Die kompromittierten Android-Boxen dienen anschliessend nicht nur als DDoS-Bot. Sie werden zugleich in anonyme Proxy-Netzwerke integriert und ueber Drittanbieter-SDKs – etwa von Diensten wie Plainproxies Byteconnect – monetarisiert. So generieren die Hintermaenner parallel Einnahmen durch Traffic-Vermietung, Klickbetrug und Proxy-Verkauf, waehrend dieselbe Infrastruktur fuer Angriffe bereitsteht.
Reaktion der Proxy-Anbieter und Sicherheitsrisiken fuer Nutzer
Besonders stark von der Kimwolf-Kampagne betroffen war der Proxy-Anbieter IPIDEA, der Zugriff auf saemtliche Ports – inklusive lokaler Netze – anbot und damit fuer die Angreifer attraktiv war. Nach einem Hinweis von Synthient schraenkte IPIDEA Ende Dezember den Zugang zu lokalen Netzadressen ein und blockierte weite Portbereiche, um weiteren Missbrauch zu erschweren.
Insgesamt meldeten die Forscher eine zweistellige Anzahl von Sicherheitsberichten an zentrale Proxy-Provider, die in die Kampagne involviert waren. Dennoch bleibt unklar, wie viele Plattformen tatsaechlich Bestandteil des Kimwolf-Oekosystems sind. Die verteilte Struktur von residential Proxy-Netzen erschwert eine vollstaendige Erfassung erheblich.
Fuer Endanwender besteht das Kernrisiko darin, dass viele Android-TV-Boxen und andere IoT-Gadgets bereits mit vorinstallierten Proxy-SDKs ausgeliefert werden und gleichzeitig ADB standardmaessig aktiviert ist. Ohne Zutun der Besitzer koennen diese Geraete dadurch zu Botnet-Knoten, DDoS-Werkzeugen und Proxy-Relay-Punkten werden – mit Auswirkungen auf Bandbreite, Privatsphaere und rechtliche Risiken, falls ueber den Anschluss Straftaten begangen werden.
Die Entwicklung rund um Kimwolf verdeutlicht, wie gefaehrlich die Kombination aus residential Proxies, schwacher Standardkonfiguration und offenem ADB-Zugriff auf guenstigen Android-Geraeten ist. Betreiber von Heim- und Firmennetzen sollten ADB auf TV-Boxen und aehnlichen Geraeten deaktivieren, Zugriffe auf das lokale Netz beschraenken, Firmware-Updates konsequent installieren und installierte Apps sowie deren Berechtigungen regelmaessig ueberpruefen. Unternehmen sollten alle angebundenen IoT- und Android-Geraete inventarisieren, unautorisierte Proxy-SDKs blockieren und durch Netzsegmentierung die Ausbreitung von Malware begrenzen. Je frueher solche Basismassnahmen breit umgesetzt werden, desto weniger Angriffsoberflaeche bieten Heim- und Unternehmensumgebungen fuer Botnet-Betreiber wie die Hintermaenner von Kimwolf.
