Дослідники з кібербезпеки б’ють на сполох: новий ботнет Kimwolf, що активно діє з серпня 2025 року, скомпрометував понад 1,8 мільйона Android-пристроїв по всьому світу і продовжує зростати. Смарт-телевізори та стрімінгові приставки у звичайних домівках перетворилися на зброю для масштабних кібератак — і власники цих пристроїв здебільшого навіть не підозрюють про це.
Хто і як потрапляє під удар
Оператори Kimwolf цілеспрямовано обрали своєю мішенню Android TV-пристрої: телевізори та стрімінгові приставки, які постійно увімкнені, рідко отримують оновлення безпеки та майже ніколи не перебувають під наглядом власника. Дослідники компанії Synthient, яка першою детально задокументувала Kimwolf, встановили, що зараження відбувається через кілька векторів одночасно: передвстановлене шкідливе ПЗ на нових пристроях від неперевірених виробників, шкідливі застосунки з неофіційних магазинів і відкритий ADB-порт 5555 — налагоджувальний інтерфейс Android, призначений для розробників, який на багатьох дешевих пристроях залишається відчиненим за замовчуванням.
Окремо дослідники зафіксували схему, де ботнет проникає у локальні мережі через резидентні проксі-сервіси. Як з’ясував KrebsOnSecurity, Kimwolf активно використовував проксі-мережу китайської компанії IPIDEA — найбільшого у світі провайдера резидентних проксі — щоб через підключені до неї пристрої діставатися до Android TV-приставок у домашніх мережах. Варто лише підключитися до пристрою через такий проксі-вузол та відкритий порт 5555, і зловмисник отримує повний контроль над ним з правами суперкористувача. Після повідомлення від Synthient компанія IPIDEA усунула вразливість 28 грудня 2025 року.
Масштаб і географія
За даними XLab та Synthient, станом на початок грудня 2025 року ботнет охопив понад 1,8 мільйона пристроїв у 222 країнах і регіонах. Найвища концентрація заражень зафіксована у Бразилії, Індії, США, Аргентині, ПАР та на Філіппінах — ринках, де Android TV-пристрої активно продаються, але рівень інформованості споживачів щодо кібербезпеки залишається невисоким.
Дослідники застерігають, що реальна кількість заражених пристроїв може бути ще більшою: динамічне виділення IP-адрес і постійне підключення нових пристроїв ускладнюють точний підрахунок. Важливіший за цифри сам тренд — ботнет такого масштабу на Android TV-пристроях має всі умови для подальшого зростання.
Як Kimwolf виживає після знесення інфраструктури
Особливо тривожною для фахівців є стійкість Kimwolf до протидії. Командно-контрольна інфраструктура ботнету була успішно знесена невідомими сторонами щонайменше тричі у грудні 2025 року — проте щоразу він повертався з оновленою інфраструктурою. Причина в нестандартному архітектурному рішенні: оператори використовують ENS (Ethereum Name Service) — систему доменних імен на основі блокчейну Ethereum. На відміну від звичайних DNS-доменів, ENS-записи не підлягають централізованому вилученню, тому зловмисники можуть швидко перенаправляти ботнет на нову інфраструктуру після кожного знесення.
Дослідники також встановили, що Kimwolf генетично пов’язаний із сімейством шкідливого ПЗ Aisuru, відомого своїми атаками на IoT-пристрої. Успадкований механізм перевірки командних інструкцій свідчить про те, що розробники свідомо захищають ботнет не лише від правоохоронців, а й від конкурентів, які можуть спробувати перехопити над ним контроль.
Реальні атаки і монетизація
Скомпрометовані пристрої використовуються за кількома напрямками. Основний — DDoS-атаки: Kimwolf здатний запускати до 13 різних типів розподілених атак на відмову в обслуговуванні. Пов’язаний із ним ботнет Aisuru встановив рекорд Cloudflare — DDoS-атака потужністю 29,7 Тбіт/с. Для порівняння: Microsoft нещодавно відбила атаку на 15,72 Тбіт/с, що вважалося рекордом для хмарних платформ.
Паралельно оператори монетизують ботнет через перепродаж проксі-трафіку: заражені пристрої підключаються до стороннього SDK ByteConnect і стають вузлами комерційних проксі-мереж. За оцінками дослідників, лише від цього напрямку оператори Kimwolf отримують понад 88 000 доларів на місяць. Додатково ботнет використовується для рекламного шахрайства, захоплення акаунтів і масового скрейпінгу вебсайтів.
Чому традиційний захист не спрацьовує
Трафік Kimwolf надходить із резидентних IP-адрес — тих самих діапазонів, якими звичайні користувачі дивляться стрімінгові сервіси чи працюють вдома. Блокування за IP або доменами малоефективне, оскільки ботнет поширений у мільйонах домашніх мереж по всьому світу і регулярно змінює інфраструктуру. Саме тому фахівці рекомендують переходити до поведінкового виявлення DDoS-атак, а не покладатися на статичні списки блокувань.
Практичні поради
Для звичайних користувачів найефективніші кроки — прості, але рідко виконувані. Слід перевірити, чи вимкнений режим «Налагодження по мережі» в налаштуваннях Android-пристрою, встановлювати оновлення прошивки щойно вони з’являються, а медіапристрої підключати до окремої мережі Wi-Fi, ізольованої від робочих комп’ютерів і смартфонів. Купівля Android TV-приставок від невідомих виробників без офіційної підтримки оновлень є прямим шляхом до потрапляння в ботнет. Пристрої, на яких підозрюється зараження, слід відновити до заводських налаштувань.
Для корпоративних мереж і провайдерів рекомендується моніторинг нетипових вихідних підключень з Android IoT-пристроїв, їх ізоляція в окремому мережевому сегменті та перевірка наявності підозрілих процесів — зокрема netd_services і tv_helper, а також Unix-сокетів з іменами на зразок @niggaboxv[число], які є індикаторами зараження Kimwolf.
Kimwolf — це не черговий одноразовий ботнет, а повноцінна платформа з продуманою архітектурою, що навчається на власних невдачах і повертається після кожного знесення. Поки виробники не почнуть постачати пристрої із закритими ADB-портами за замовчуванням і забезпечувати тривалу підтримку оновлень, такі ботнети матимуть невичерпне джерело нових жертв.
