Аналитики зафиксировали резкий рост ботнета Kimwolf, который, по информации компании Synthient, уже охватил более 2 миллионов Android-устройств.
Основная черта этой сети — применение резидентских прокси, что позволяет скрывать вредоносную активность под легитимным пользовательским трафиком и усложнять ее обнаружение, сообщает Anti-Malware.
Ботнет используется для реализации установок мобильных приложений, аренды резидентского прокси-трафика, а также для проведения DDoS-атак по заказу. Масштабы его инфраструктуры указывают на стабильный коммерческий интерес к подобным услугам.
Впервые Kimwolf был публично упомянут в конце 2025 года специалистами QiAnXin XLab, которые отметили его связь с ботнетом AISURU. Текущие сведения подтверждают, что Kimwolf является Android-версией этой сети и, вероятно, был задействован в серии рекордных DDoS-атак, зафиксированных в конце прошлого года. Зараженные устройства функционируют как транзитные узлы для вредоносного трафика и позволяют осуществлять атаки в больших масштабах.
Наибольшее число заражений наблюдается во Вьетнаме, Бразилии, Индии и Саудовской Аравии. По данным Synthient, ботнет еженедельно управляет около 12 млн уникальных IP-адресов.
Основным вектором проникновения остается Android Debug Bridge (ADB), который остается открытым без аутентификации: более 67% зараженных устройств имели незащищенный ADB-доступ. Атаки осуществляются через инфраструктуру резидентских прокси, после чего вредоносное ПО устанавливается напрямую. В группе повышенного риска — неофициальные ТВ-приставки и смарт-телевизоры, которые часто приходят с сомнительными SDK или предустановленным сторонним ПО.
Эксперты считают ситуацию беспрецедентной по масштабу и подчеркивают риски, связанные с предустановленным вредоносным ПО и сближением киберпреступных групп с легальными провайдерами прокси-услуг.
Фото: hi-tech.mail.ru