За лічені місяці Android-ботнет Kimwolf, який є розвитком відомої шкідливої програми Aisuru, перетворився на одну з найбільших мереж заражених мобільних та IoT-пристроїв. Аналітики Synthient оцінюють, що під контролем операторів Kimwolf перебуває вже майже два мільйони Android-хостів, а щотижня ботнет задіює близько 12 мільйонів унікальних IP-адрес.
Походження ботнету Kimwolf та звʼязок із рекордними DDoS-атаками
Kimwolf є Android-гілкою малварі Aisuru, яка раніше фігурувала в одній з найпотужніших DDoS-кампаній в історії. За даними Cloudflare, потужність цієї атаки сягнула 29,7 Тбіт/с, що демонструє, який руйнівний потенціал мають сучасні ботнети, побудовані на масовому зараженні споживчих пристроїв.
Активне розширення ботнету Kimwolf фіксується з серпня минулого року. Дослідники QiAnXin XLab повідомляли, що вже на початок грудня 2025 року мережа включала понад 1,8 млн скомпрометованих Android-пристроїв. Свіжі спостереження Synthient свідчать, що показник швидко наближається до позначки у два мільйони, а кампанія зараження триває.
Найбільша концентрація інфікованих гаджетів зафіксована у Вʼєтнамі, Бразилії, Росії, Індії та Саудівській Аравії. Переважно це недорогі Android-приставки та стримінгові ТВ-бокси, які підключені до домашніх мереж і нерідко постачаються з уже встановленими SDK резидентних проксі-сервісів.
Резидентні проксі-мережі як драйвер зростання ботнету Kimwolf
Ключову роль у стрімкій експансії Kimwolf відіграє використання резидентних проксі-мереж. Такі мережі будуються на базі реальних користувацьких пристроїв (ПК, смартфони, ТВ-приставки), на які встановлюються спеціальні SDK або застосунки. Вони перетворюють гаджет у вузол проксі-мережі, через який може прокладатися сторонній трафік — включно з трафіком кіберзлочинців.
За даними Synthient, оператори Android-ботнету Kimwolf активно користуються послугами проксі-провайдерів, які надають доступ до локальних IP-адрес і широкого діапазону портів. Це фактично відкриває зловмисникам «тунель» у внутрішні мережі, де знаходяться інші пристрої клієнта проксі. У результаті атакуючі отримують можливість сканувати та зламувати Android-приставки й інші IoT-пристрої, які напряму з Інтернету виглядали б недоступними.
Атаки через відкритий Android Debug Bridge (ADB)
З листопада 2025 року фахівці фіксують різке зростання сканування неавтентифікованих сервісів Android Debug Bridge (ADB), до яких зловмисники підключаються саме через проксі-ендпоїнти. ADB — це стандартний інструмент для розробників, що дає змогу віддалено встановлювати застосунки, виконувати команди та керувати Android-системою.
Kimwolf орієнтується на пристрої з відкритим ADB на портах 5555, 5858, 12108 та 3222. У багатьох бюджетних ТВ-приставках ADB активований за замовчуванням і не вимагає жодної аутентифікації. Аналіз проксі-пулу платформи IPIDEA показав, що приблизно 67% Android-пристроїв, доступних через цю мережу, не запитували облікові дані, що створює критичні умови для віддаленого виконання коду (RCE).
За результатами широкомасштабного сканування дослідники ідентифікували близько шести мільйонів потенційно вразливих IP-адрес. Частина пристроїв надходить на ринок уже з попередньо встановленими SDK від проксі-провайдерів, фактично маючи «вбудований» канал для зловживань ще до першого налаштування користувачем.
Ланцюжок зараження Kimwolf: від ADB-доступу до DDoS і продажу проксі
Після виявлення відкритого ADB зловмисники підключаються до пристрою та завантажують шкідливе навантаження за допомогою утиліт netcat або telnet. Shell-скрипти передаються безпосередньо в систему, зберігаються, зокрема, у каталозі /data/local/tmp і запускаються локально. Далі встановлюються компоненти ботнету Kimwolf, які реєструють пристрій у командно-контрольній інфраструктурі (C2).
Скомпрометовані Android-приставки виконують одразу кілька ролей. Вони беруть участь у DDoS-атаках, продаються як вузли анонімних резидентних проксі-мереж, а також монетизуються через установку застосунків зі сторонніми SDK, такими як Plainproxies Byteconnect. Це дозволяє операторам ботнету одночасно заробляти на оренді трафіку, клік-фроді та залученні пристроїв до мережевих атак.
Реакція проксі-провайдерів та ризики для користувачів і організацій
Однією з найбільш уражених платформ стала IPIDEA, яка була привабливою для операторів Kimwolf завдяки доступу до всіх портів, включно з локальними. Після отримання звіту від Synthient наприкінці грудня компанія обмежила доступ до локальних мереж і заблокувала широкий діапазон портів, що має зменшити можливості для подальшої експлуатації.
Загалом дослідники направили близько десятка звітів про уразливості ключовим провайдерам резидентних проксі, залученим до цієї кампанії. Водночас повністю ідентифікувати всі сервіси, які використовуються в інфраструктурі ботнету Kimwolf, поки не вдалося, що підкреслює розподілений і фрагментований характер сучасної екосистеми проксі-мереж.
Для кінцевих користувачів основна небезпека полягає в тому, що багато Android-ТВ-боксів та «розумних» пристроїв зʼявляються на ринку вже з попередньо встановленими проксі-SDK або сумнівними застосунками, які роблять гаджет частиною резидентної мережі. У поєднанні з увімкненим за замовчуванням і незахищеним ADB це створює готову точку входу для ботнетів без будь-яких дій з боку власника.
Ситуація з Kimwolf наочно демонструє, наскільки небезпечним є поєднання резидентних проксі-мереж, слабкої конфігурації безпеки та відкритого ADB у недорогих Android-пристроях. Щоб знизити ризики, варто в першу чергу вимкнути ADB на приставках і ТВ-боксах, обмежити доступ із локальної мережі до сервісів відладки, регулярно оновлювати прошивки, видаляти невідомі застосунки та перевіряти їхні дозволи. Організаціям доцільно провести інвентаризацію всіх підключених IoT- та Android-пристроїв, заблокувати несанкціоновані проксі-SDK, застосувати мережеву сегментацію (окремі VLAN для медіапристроїв) і впровадити моніторинг аномального вихідного трафіку. Чим швидше такі базові практики безпеки стануть стандартом, тим складніше буде операторам ботнетів використовувати домашні й корпоративні мережі як інфраструктуру для DDoS-атак та прихованих проксі-сервісів.
