Исследователи из QiAnXin XLab выявили крупномасштабный DDoS-ботнет Kimwolf, который за короткий период времени скомпрометировал порядка 1,83 млн Android-устройств по всему миру. Основной удар пришёлся на сегмент потребительской электроники: «умные» телевизоры, ТВ-приставки и планшеты на Android стали ключевыми целями кампании.
Масштаб заражения и география ботнета Kimwolf
По данным наблюдений, активность Kimwolf резко возросла в конце 2024 года. С 19 по 22 ноября один из доменов управления ботнетом (14emeliaterracewestroxburyma02132[.]su) продемонстрировал такую нагрузку, что оказался в топ-100 самых активных доменов Cloudflare, обгоняя по объёму запросов даже крупные сервисы, включая Google. Это указывает на колоссальный объём как управляющего, так и атакующего трафика.
Когда в начале декабря специалистам QiAnXin XLab удалось перехватить один из C2-доменов, было зафиксировано около 1,83 млн активных IP-адресов ботов. Инфекции Kimwolf распределены глобально, при этом наиболее затронутыми странами стали Бразилия, Индия, США, Аргентина, ЮАР и Филиппины. Среди заражённых — множество популярных моделей ТВ-приставок: TV BOX, SuperBOX, X96Q, SmartTV, MX10 и другие.
Связь Kimwolf с ботнетом Aisuru и эволюция кампании
Эксперты предполагают, что Kimwolf может быть тесно связан с ботнетом Aisuru, который ранее фигурировал в контексте рекордных DDoS-атак 2024 года. С сентября по ноябрь оба ботнета распространялись через идентичные скрипты заражения и нередко сосуществовали на одних и тех же устройствах, что нехарактерно для конкурирующих преступных кампаний.
Дополнительные индикаторы связности включают совпадающие сертификаты подписи APK-файлов, обнаруженных на VirusTotal (в том числе с подписью «John Dinglebert Dinglenut VIII VanSack Smith»), а также общий сервер-загрузчик 93.95.112[.]59, раздававший APK-файлы сразу для двух ботнетов. Исходя из этого, исследователи предполагают, что Kimwolf изначально мог базироваться на кодовой базе Aisuru, а затем был выделен в отдельный проект для обхода сигнатурных детекторов и усложнения атрибуции атак.
Технические особенности Kimwolf: ENS и техника EtherHiding
Kimwolf реализован с использованием Android NDK, что позволяет ему работать ближе к «железу» и быть менее заметным для стандартных средств защиты. Ботнет поддерживает несколько типов активности: проведение DDoS-атак, использование заражённых устройств как прокси-узлов, открытие реверс-шеллов и управление файловой системой устройства.
Отдельного внимания заслуживает способ сокрытия командных серверов. После того как инфраструктура C2 неоднократно выводилась из строя неизвестными сторонами, операторы Kimwolf перешли на использование Ethereum Name Service (ENS) и внедрили технику EtherHiding. В свежих версиях малвари (по состоянию на 12 декабря) IP-адрес C2-узла извлекается из смарт-контракта, связанного с ENS-доменом pawsatyou[.]eth.
Технически вредоносный код получает значение из поля транзакции в блокчейне, извлекает IPv6-адрес и затем декодирует его: последние четыре байта обрабатываются операцией XOR с ключом 0x93141715. Такой подход усложняет блокировку и трекинг инфраструктуры, поскольку данные о C2 фактически распределены через децентрализованную сеть Ethereum. Аналогичные техники EtherHiding уже описывались исследователями Guardio Labs в 2023 году в контексте злоупотребления Binance Smart Chain.
Монетизация через прокси-сеть и рынок трафика
Хотя Kimwolf позиционируется как DDoS-ботнет, анализ телеметрии показал, что более 96% команд, получаемых заражёнными узлами, связаны с использованием устройств в роли прокси. На скомпрометированные Android-системы доставляется модуль Command Client на Rust, который формирует распределённую прокси-сеть, а также SDK ByteConnect — решение для монетизации сетевого трафика.
Таким образом, операторы Kimwolf зарабатывают на перепродаже пропускной способности инфицированных «умных» ТВ и приставок. Такой бизнес-моделью активно пользуются и другие крупные ботнеты последнего времени, в числе которых Badbox, Bigpanzi и Vo1d. Начиная с эпохи Mirai (2016 год), фокус злоумышленников постепенно смещается с классических IoT-устройств (роутеров, IP-камер) на Android-платформы и смарт-ТВ, которые часто остаются без обновлений и почти не контролируются пользователями.
Риски для пользователей и меры защиты Android-телевизоров
Массовое появление ботнетов уровня Kimwolf демонстрирует, что Android-телевизоры и ТВ-приставки окончательно превратились в полноценные цели киберпреступников. Даже если устройство не используется для хранения конфиденциальных данных, оно может стать частью DDoS- или прокси-инфраструктуры и участвовать в атаках на организации по всему миру, создавая юридические и этические риски для владельцев.
Чтобы снизить вероятность заражения, рекомендуется:
- устанавливать приложения только из доверенных источников (Google Play, официальные магазины производителей);
- избегать установки «пиратских» IPTV-сервисов и неизвестных APK с форумов и файловых хостингов;
- регулярно обновлять прошивку Smart TV и приставок, по возможности включая автоматические обновления;
- изменять стандартные пароли и отключать ненужные службы удалённого доступа;
- размещать смарт-устройства в отдельном гостевом или IoT-сегменте домашней сети.
Рост ботнета Kimwolf и его использование ENS и EtherHiding показывают, насколько быстро эволюционируют инструменты киберпреступников. Владельцам Android-телевизоров, поставщикам контента и операторам сетей имеет смысл пересмотреть подходы к защите умных устройств, внедрять мониторинг аномального трафика и учитывать, что «простая» ТВ-приставка сегодня может стать частью многомиллионной киберпреступной инфраструктуры. Чем раньше будут внедрены базовые меры кибергигиены и сетевой сегментации, тем ниже шансы оказаться в новой волне глобальных DDoS и прокси-кампаний.
