Kimwolf: Android ботнет кампания компрометира над 2 милиона устройства чрез отворен ADB и прокси мрежи
Изследователи по киберсигурност разкриха мащабна Android ботнет кампания, обозначавана като Kimwolf, която е компрометирала над 2 милиона Android устройства, използвайки незащитен Android Debug Bridge (ADB) и търговски резидентни прокси мрежи.
Според анализи на Synthient и независими изследователски екипи, атаката е активна поне от август 2025 г. и е насочена основно към Android-базирани смарт телевизори, сет-топ боксове и други IoT устройства, които често се доставят с ADB активиран по подразбиране и без автентикация.
Как работи кампанията
Атакуващите сканират интернет за устройства с отворен ADB интерфейс и използват резидентни прокси мрежи, за да инсталират зловредния код, без да привличат внимание. След компрометиране устройствата се превръщат в част от ботнет инфраструктура, използвана за:
мащабни DDoS атаки
продажба на прокси трафик
автоматизирани credential-stuffing атаки
инсталиране на допълнителни SDK модули за монетизация
Изследователите отбелязват, че значителна част от заразените устройства са неоторизирани и без защита, като приблизително две трети имат ADB активиран без парола.
Връзка с други ботнети и комерсиални прокси услуги
Kimwolf е документиран публично за първи път от QiAnXin XLab, които посочват връзка с друг Android ботнет – AISURU, като се предполага, че Kimwolf представлява негова еволюция.
В кампанията е наблюдавано използване на комерсиални прокси SDK модули, включително такива за продажба на трафик, което показва пряко преплитане между киберпрестъпни групи и легитимни прокси екосистеми. Част от засечената инфраструктура е била използвана и за атаки срещу имейл услуги и популярни онлайн платформи.
DIAMATIX Perspective
Тази кампания е пореден пример как лошо конфигурирани IoT и Android-базирани устройства се превръщат в стратегически актив за киберпрестъпниците. Отвореният ADB, липсата на мониторинг и използването на прокси инфраструктура правят подобни атаки трудни за откриване без поведенчески анализ и мрежова корелация.
Организациите следва да:
забранят неавтентикиран ADB достъп
ограничат достъпа до вътрешни IP диапазони
наблюдават аномален прокси и изходящ трафик
прилагат постоянен SOC и threat-hunting подход
Trusted · Innovative · Vigilant
Източници:
Synthient Research; QiAnXin XLab; The Hacker News; публични анализи на Android IoT ботнет кампании (2025–2026)
Получавайте актуални новини и експертни анализи за киберсигурност
