В конце 2025 года исследователи обнаружили стремительно растущий ботнет под именем Kimwolf, который уже заразил более 2 миллионов Android-устройств по всему миру. Эта сеть работает за счёт слабых мест в Android-устройствах и уязвимых прокси-сетей, превращая обычные гаджеты в инструменты для масштабных кибератак.
Как работает Kimwolf
Kimwolf — это разновидность ботнета, которая активно эксплуатирует устройства на базе Android, особенно с включённым Android Debug Bridge (ADB) т.е. интерфейсом для разработчиков. Большая часть заражений приходится на устройства с открытым ADB без пароля или защиты.
Основные особенности Kimwolf:
Распространение через прокси-сети. Ботнет использует крупные сети «residential proxy» — сервисы, которые позволяют направлять трафик через реальные устройства для маскировки происхождения соединений.
Туннелирование в локальные сети. Через прокси-точки злоумышленники проникают в домашние сети и находят уязвимые Android-устройства.
Использование заражённых SDK. Некоторые устройства могут быть предварительно инфицированы через встроенные SDK от поставщиков прокси, прежде чем попадают к пользователю.
Какие устройства находятся под угрозой
Наибольшую долю заражённых составляют:
Неофициальные Android smart-TV и TV-приставки. Эти устройства часто идут без защиты и обновлений, а ADB там включён по умолчанию.
Android-IoT гаджеты и цифровые фоторамки. Подобные устройства также нередко поставляются с предустановленным вредоносным ПО или требуют установки сомнительных приложений для работы.
Исследователи отмечают концентрацию инфицированных устройств в странах с высоким уровнем потребления бюджетной Android-техники, таких как Вьетнам, Бразилия, Индия и Саудовская Аравия.
Злонамеренные действия ботнета
Как только устройство становится частью сети Kimwolf, его возможности выходят далеко за рамки простого контроля:
Массовые DDoS-атаки. Ботнет используется для организации распределённых атак отказа в обслуживании, способных генерировать огромный трафик и обрушивать веб-ресурсы.
Продажа прокси-услуг. Комплекс заражённых устройств используется как прокси-сеть, через которую преступники перенаправляют трафик за деньги.
Credential stuffing и мошенничества. Зафиксированы попытки автоматизированного подбора паролей для доступа к почте и онлайн-сервисам.
Отдельно отмечается, что ботнет активно коммерциализируется т.е. злоумышленники продают доступ к прокси-узлам и услугам DDoS-атаки на криминальных рынках.
Почему ботнет разрастается так быстро
Рост Kimwolf объясняется сочетанием нескольких факторов:
Открытые сервисы ADB. Многие устройства оставляют включённый отладочный интерфейс, что делает их лёгкой мишенью.
Слабая безопасность IoT-устройств. Smart-TV, приставки и другие Android-устройства часто имеют устаревшие прошивки и отсутствуют механизмы защиты.
Использование прокси-сетей для скрытия следов. Анализ трафика через прокси делает обнаружение и блокировку сложнее.
Советы по защите устройств
Чтобы снизить риск заражения, специалисты кибербезопасности рекомендуют:
Выключить Android Debug Bridge (ADB) на всех устройствах, где он не нужен.
Проверять настройки безопасности IoT-устройств, особенно тех, что подключаются к домашней сети.
Регулярно обновлять прошивки и программное обеспечение.
Использовать сетевые фильтры и защиту от несанкционированного доступа внутри локальной сети.
Источник: The Hacker News