Das neu analysierte Kimwolf-Botnet markiert einen weiteren Wendepunkt in der Bedrohungslage für Android-TV- und Smart-TV-Geräte. Innerhalb kurzer Zeit wurden rund 1,83 Millionen Android-basierte Systeme weltweit kompromittiert – vor allem Smart-TVs, TV-Boxen und Tablets, die im Alltag oft als „unwichtige“ Zweitgeräte wahrgenommen werden.
Kimwolf-Botnet: Ausmass, Ziele und globale Verbreitung
Die Aktivität von Kimwolf nahm gegen Ende 2024 deutlich zu. Zwischen dem 19. und 22. November erzeugte ein Command-&-Control-Domain des Botnetzes (14emeliaterracewestroxburyma02132[.]su) so viel Traffic, dass er zu den Top‑100 aktivsten Domains bei Cloudflare zählte und zeitweise sogar grosse Online-Dienste wie Google im Anfragevolumen übertraf. Das deutet auf enorme Mengen sowohl an Steuer‑ als auch an Angriffstraffic hin.
Als Forscher im Dezember einen der C2-Domains übernahmen, wurden rund 1,83 Millionen aktive Bot-IP-Adressen erfasst. Die Infektionen sind global verteilt; besonders betroffen sind Brasilien, Indien, die USA, Argentinien, Südafrika und die Philippinen. Unter den kompromittierten Geräten finden sich zahlreiche verbreitete TV-Box-Modelle wie TV BOX, SuperBOX, X96Q, SmartTV, MX10 und weitere Varianten, die häufig mit vorinstallierten Apps und laxer Update-Politik in Umlauf gebracht werden.
Verbindung zu Aisuru: Professionalisierung der DDoS- und IoT-Botnets
Mehrere technische Indikatoren sprechen für eine enge Verwandtschaft zwischen Kimwolf und dem Aisuru-Botnet, das bereits 2024 durch besonders leistungsfähige DDoS-Angriffe aufgefallen ist. Beide Kampagnen nutzten über Monate hinweg identische Infektionsskripte und waren häufig parallel auf denselben Android-Geräten aktiv – ein Verhalten, das für konkurrierende Botnets eher untypisch ist.
Zusätzliche Überschneidungen zeigen sich bei den Signaturzertifikaten der APK-Dateien (unter anderem mit der auffälligen Signatur „John Dinglebert Dinglenut VIII VanSack Smith“) sowie bei einem gemeinsamen Loader-Server unter der IP 93.95.112[.]59, der APKs für beide Botnets ausliefert. Aus forensischer Sicht liegt nahe, dass Kimwolf ursprünglich auf der Codebasis von Aisuru aufsetzte und später als separater Zweig weiterentwickelt wurde, um signaturbasierte Erkennung zu umgehen und die Attribution der Angriffe zu erschweren – ein Vorgehen, das auch ENISA und BSI seit Jahren im Kontext modularer Malware-Familien beobachten.
Technische Analyse: Android NDK, ENS und EtherHiding im Smart-TV-Bereich
Kimwolf setzt auf das Android NDK (Native Development Kit) und läuft damit nahe an der Hardware. Native Code ist für viele klassische Mobile-Schutzlösungen schwerer zu analysieren und bietet Angreifern mehr Spielraum für Tarntechniken. Das Botnet unterstützt mehrere Funktionen: DDoS-Angriffe, Betrieb der Geräte als Proxy-Knoten, Aufbau von Reverse Shells und weitreichende Kontrolle über das Dateisystem der infizierten Android-TV-Geräte.
Besonders bemerkenswert ist die Verdeckung der Steuerinfrastruktur über das Ethereum Name Service (ENS) und die Technik EtherHiding. In aktuellen Versionen (Stand 12. Dezember) wird die IP-Adresse des C2-Servers aus einem Smart Contract abgeleitet, der mit dem ENS-Domain pawsatyou[.]eth verknüpft ist. Der Schadcode liest dazu ein Feld aus einer Ethereum-Transaktion aus, extrahiert einen IPv6-Wert und dekodiert die letzten vier Byte mittels einer XOR-Operation mit dem Schlüssel 0x93141715.
Damit werden Steuerinformationen faktisch in der dezentralen Ethereum-Blockchain verteilt. Ein klassisches Abschalten durch Sperrung einzelner Domains oder IP-Ranges wird deutlich schwieriger. Ähnliche EtherHiding-Ansatze wurden bereits 2023 von Guardio Labs im Zusammenhang mit Missbrauch der Binance Smart Chain dokumentiert und gelten seitdem als aufkommender Trend für „Web3‑basierte“ Command-&-Control-Kanäle.
Monetarisierung: Vom DDoS-Botnet zum lukrativen Proxy-Netzwerk
Obwohl Kimwolf als DDoS-Botnet eingestuft wird, zeigt die Telemetrie, dass über 96 % der empfangenen Befehle auf den Einsatz als Proxy-Netz abzielen. Auf den kompromittierten Android-Geräten wird ein in Rust entwickelter Command Client nachgeladen, der eine verteilte Proxy-Infrastruktur aufbaut. Zusätzlich wird das ByteConnect-SDK installiert, ein Modul zur aggressiven Monetarisierung von Netzwerkverkehr.
Die Betreiber verdienen damit an der Weitervermarktung der Bandbreite infizierter Smart-TVs und TV-Boxen. Solche Netze werden in einschlägigen Märkten als „Residential Proxies“ angeboten und können für Ad-Fraud, Massenscraping, Umgehung von Geo-Sperren oder Credential-Stuffing-Angriffe auf Unternehmensportale genutzt werden. Vergleichbare Geschäftsmodelle sind bereits von den Botnets Badbox, Bigpanzi und Vo1d bekannt und spiegeln einen breiten Trend weg von rein destruktiven DDoS-Kampagnen hin zu dauerhaft profitablen IoT-Botnets wider.
Risiken fuer Nutzer von Android-TV und empfohlene Schutzmassnahmen
Die Entwicklung von Kimwolf zeigt, dass Android-TVs, TV-Boxen und andere Smart-Home-Geräte längst vollwertige Ziele für Cyberkriminelle sind. Auch wenn auf diesen Geräten selten vertrauliche Daten liegen, können sie Teil globaler DDoS- oder Proxy-Infrastrukturen werden. Das birgt rechtliche, ethische und betriebliche Risiken: vom möglichen Missbrauch der eigenen IP-Adresse bis hin zu Bandbreitenproblemen oder Sperrungen durch den Internetprovider.
Viele dieser Geräte erhalten nur unregelmässig Sicherheitsupdates, werden selten überprüft und laufen dauerhaft im Heimnetz – ein Umfeld, das Angreifer laut Analysen von BSI, ENISA und verschiedenen CERTs zunehmend gezielt ausnutzen. Eine grundlegende „Cyberhygiene“ im Smart-Home-Bereich ist daher unerlässlich.
Um das Risiko einer Infektion durch Botnets wie Kimwolf zu reduzieren, sollten Nutzer folgende Massnahmen ergreifen:
- Apps nur aus vertrauenswürdigen Quellen installieren (Google Play Store, offizielle Stores der Hersteller) und Sideloading aus unbekannten Quellen vermeiden.
- Konsequent auf „piratische“ IPTV-Dienste und dubiose APK-Dateien von Foren, Filehostern oder inoffiziellen App-Stores verzichten.
- Firmware und Betriebssystem von Smart-TVs und TV-Boxen regelmässig aktualisieren und – sofern vorhanden – automatische Updates aktivieren.
- Standardpasswörter ändern, unnötige Remote-Zugriffe deaktivieren und nur nötige Netzwerkdienste offen lassen.
- Smart-Home- und IoT-Geräte in ein separates Netzwerksegment oder Gast-WLAN auslagern, um das Risiko für PCs, Laptops und Firmen-Geräte zu senken.
- Router-Logs und Datenvolumen auf auffällige Traffic-Muster überwachen, insbesondere bei Geräten, die im Stand-by überdurchschnittlich viel Daten senden.
Die rasant wachsende Kimwolf-Infrastruktur und der Einsatz von ENS und EtherHiding machen deutlich, wie schnell sich die Werkzeuge von Cyberkriminellen weiterentwickeln. Hersteller, Content-Provider und Netzbetreiber sollten Smart-TVs als vollwertige IT-Systeme behandeln, Sicherheitsupdates länger bereitstellen und Anomalien im Traffic frühzeitig erkennen. Endnutzer wiederum können mit wenigen, aber konsequent umgesetzten Schritten – von Updates über Netzwerksegmentierung bis hin zu bewusster App-Auswahl – entscheidend dazu beitragen, dass ihre Wohnzimmergeräte nicht zum Teil globaler DDoS- und Proxy-Kampagnen werden.
