Масштабна кампанія зараження Android-пристроїв, виявлена дослідниками QiAnXin XLab, продемонструвала, наскільки вразливими стали «розумні» телевізори та ТВ-приставки. Новий DDoS-ботнет Kimwolf за короткий час задіяв близько 1,83 млн Android-пристроїв, перетворивши їх на інфраструктуру для DDoS-атак та продажу проксі-трафіку.
Масштаби ботнету Kimwolf та основні цілі атак
Активність Kimwolf різко зросла наприкінці 2024 року. З 19 по 22 листопада один із доменів управління (14emeliaterracewestroxburyma02132[.]su) увійшов до топ-100 найактивніших доменів Cloudflare, випередивши за кількістю запитів навіть великі онлайн-сервіси на кшталт Google. Це свідчить про гігантський обсяг як керуючого, так і атакувального трафіку ботнету.
Після перехоплення одного з C2-доменів на початку грудня QiAnXin XLab зафіксували близько 1,83 млн активних IP-адрес ботів. Інфекції розподілені по всьому світу, найбільше постраждали Бразилія, Індія, США, Аргентина, ПАР та Філіппіни. Основна частина ботнету припала на споживчу електроніку — Smart TV та Android-ТВ-приставки, серед яких TV BOX, SuperBOX, X96Q, SmartTV, MX10 та інші популярні моделі.
Ймовірний зв’язок Kimwolf з ботнетом Aisuru
Аналіз інфраструктури й артефактів вказує на те, що Kimwolf може бути технічно та організаційно пов’язаний з ботнетом Aisuru, що фігурував у рекордних DDoS-атаках 2024 року. З вересня по листопад обидва ботнети поширювалися через однакові скрипти зараження й інколи співіснували на тих самих пристроях, що нетипово для конкуруючих кримінальних угруповань.
Дослідники виявили додаткові збіги: однакові сертифікати підпису Android-APK, завантажених до VirusTotal (зокрема з підписом «John Dinglebert Dinglenut VIII VanSack Smith»), а також спільний сервер-завантажувач 93.95.112[.]59, який розповсюджував файли одразу для двох ботнетів. Це дозволяє припустити, що Kimwolf виріс з кодової бази Aisuru та був відокремлений як окремий проєкт для обходу сигнатурних детекторів і ускладнення атрибуції атак.
Технічний профіль Kimwolf: Android NDK, ENS та EtherHiding
Зловмисники реалізували Kimwolf з використанням Android NDK, тобто значна частина функціоналу працює у нативному коді. Це ускладнює статичний аналіз і виявлення традиційними антивірусами, які орієнтовані на Java/Кotlin-компоненти Android-додатків.
Функціонально ботнет підтримує кілька режимів роботи: DDoS-атаки, використання пристрою як проксі-вузла, відкриття reverse shell для віддаленого доступу та керування файловою системою.
Після неодноразового виведення з ладу початкової C2-інфраструктури оператори перейшли на Ethereum Name Service (ENS) і техніку EtherHiding. В оновлених версіях малварі (станом на 12 грудня) IP-адреса командного сервера витягується зі смарт-контракту, пов’язаного з ENS-доменом pawsatyou[.]eth.
Малварь читає дані з поля транзакції в блокчейні Ethereum, отримує IPv6-адресу, а потім декодує її: останні чотири байти XOR-яться з ключем 0x93141715. Така схема робить C2-інфраструктуру розподіленою та стійкою до блокувань, адже інформація про сервери зберігається не на класичному хостингу, а в децентралізованому блокчейні. Подібні підходи EtherHiding раніше описували дослідники Guardio Labs на прикладі зловживання Binance Smart Chain.
Монетизація: проксі-мережа замість «чистих» DDoS-атак
Попри позиціонування Kimwolf як DDoS-ботнету, телеметрія свідчить, що понад 96% отриманих ботами команд стосуються саме проксі-функцій. На заражені Android-пристрої завантажується модуль Command Client, написаний на Rust, який формує розподілену проксі-мережу, а також SDK ByteConnect для монетизації трафіку.
Фактично оператори Kimwolf заробляють на перепродажі пропускної здатності скомпрометованих Smart TV та ТВ-приставок на сірому ринку проксі-доступу. Схожі бізнес-моделі використовують інші відомі ботнети останніх років: Badbox, Bigpanzi, Vo1d. Тренд продовжує зсув, започаткований ще епохою Mirai у 2016 році: від класичних IoT-пристроїв (роутери, IP-камери) до Android-платформи й смарт-телевізорів, які рідко оновлюються та практично не моніторяться користувачами.
Ризики для власників Smart TV та практичні кроки захисту
Масове розгортання ботнету Kimwolf демонструє, що Android-телевізори та ТВ-приставки стали повноцінною ціллю кіберзлочинців. Навіть якщо на пристрої немає конфіденційних даних, він може бути використаний для DDoS-атак або як елемент проксі-ланцюгів, створюючи юридичні та репутаційні ризики для власника (наприклад, при розслідуванні атак на банки чи онлайн-сервіси).
Щоб знизити вірогідність зараження Android-телевізора або приставки, доцільно:
- встановлювати додатки лише з офіційних магазинів (Google Play, фірмові каталоги виробників);
- уникати «піратських» IPTV-сервісів та невідомих APK з форумів і файлообмінників;
- регулярно оновлювати прошивку Smart TV та приставок і, за можливості, вмикати автоматичні оновлення;
- змінювати стандартні паролі, вимикати зайві служби віддаленого доступу (Telnet, відкритий ADB тощо);
- ізолювати смарт-пристрої у окремому гостьовому або IoT-сегменті домашньої мережі.
Поява ботнетів на кшталт Kimwolf, які поєднують використання ENS, EtherHiding та масштабних проксі-мереж, демонструє новий рівень професіоналізації кіберзлочинних операцій. Чим раніше власники Android-телевізорів, провайдери контенту й оператори мережі впровадять базову кібергігієну, сегментацію та моніторинг аномального трафіку, тим менша ймовірність, що чергова «звичайна» ТВ-приставка стане частиною багатомільйонної бот-мережі. Зараз — вдалий момент переглянути налаштування ваших смарт-пристроїв і закрити найочевидніші вектори атаки.
