Ботнет Kimwolf заразил почти 2 млн Android TV-приставок
3 мин
70
Специалисты по кибербезу обнаружили масштабный Android-ботнет Kimwolf. Исследователи получили образец в конце октября 2025 года. По их данным, управляющий домен ботнета занял второе место в рейтинге Cloudflare, а через неделю обогнал Google и вышел на первую позицию.
Название Kimwolf появилось из-за информации, которую вредонос выводит при работе, и использования библиотеки wolfSSL. Он собран через Android NDK и обладает стандартным функционалом — DDoS-атаки, проксирование трафика, обратные шеллы и управление файлами. Но есть нюансы, которые выделяют его среди похожих вредоносов.
Разработчики ВПО постарались с технической стороны. Для шифрования данных используется Stack XOR. DNS-запросы идут через DNS over TLS, что помогает обходить системы детекта. Аутентификация с управляющим сервером защищена цифровой подписью на эллиптических кривых — бот выполняет команды только после проверки. В свежих версиях добавили EtherHiding — технологию с блокчейн-доменами для защиты от блокировок.
Основная цель ботнета — Android TV-приставки. Первый попавшийся образец был версии v4. После анализа данные загрузили в систему XLab, что позволило автоматически отслеживать новые версии.
30 ноября 2025 года удалось перехватить контроль над одним из управляющих доменов. С 3 по 5 декабря зафиксировали 2,7 млн уникальных IP-адресов, которые пытались подключиться к перехваченному серверу. Пик пришёлся на 4 декабря — 1,83 млн активных адресов.
Точно посчитать заражённые устройства по IP невозможно. TV-приставки работают в домашних сетях с динамическими адресами — публичный IP постоянно меняется. Но специалисты уверены, что реальное число превышает 1,8 млн устройств. Контроль получили только над одним из нескольких серверов. 4 декабря часть обычных серверов заблокировали, и масса ботов переключилась на перехваченный домен. Заражённые девайсы разбросаны по часовым поясам, и не все находятся онлайн одновременно. Разные версии используют различные серверы.
Попытки найти ранние версии не увенчались успехом, зато исследователи выявили связь с ботнетом Aisuru. Для работы Kimwolf нужен специальный APK-файл. 7 октября из Индии на VirusTotal загрузили DEX-файл со схожими характеристиками, 18 октября из Алжира — родительский APK с образцами Aisuru для трёх архитектур процессоров.
Обычно ботнет занимается проксированием трафика. Но с 19 по 22 ноября ему выдали 1,7 млрд команд для DDoS-атак на IP-адреса по всему миру.
Это случилось после выхода управляющего домена на первое место в рейтинге. Такое количество команд вряд ли нанесло серьёзный ущерб — скорее было демонстрацией силы.
Ситуация с детектом противоречивая. В публичных базах угроз имеется минимум информации, уровень обнаружения на VirusTotal — низкий. DNS over TLS мешает связать серверы с образцами. Но управляющие домены блокировали минимум три раза, что заставило операторов перейти на Ethereum Name Service. Учитывая масштаб и рост активности, исследователи решили опубликовать технический анализ для обмена данными и совместной защиты.
