Попуст за више лиценци
Тхреат Датабасе Ботнети Кимволф ботнет кампања

Кимволф ботнет кампања

До Mezo. у Ботнети
Преведи на:

Истраживачи безбедности открили су масивни ботнет фокусиран на Андроид, познат као Кимволф, који је компромитовао преко два милиона уређаја искоришћавајући прокси мреже кућних уређаја. Злонамерни софтвер трансформише свакодневни потрошачки хардвер у глобалну платформу за напад, тихо усмеравајући злонамерни саобраћај и омогућавајући дистрибуиране DDoS (Denial-of-Service) операције великих размера. Посматрања показују отприлике 12 милиона јединствених IP адреса сваке недеље, што истиче изузетан обим ове операције.

Порекло, еволуција и везе са AISURU-ом

Кимволф је први пут јавно анализиран у децембру 2025. године , када су истраживачи идентификовали јаке техничке и инфраструктурне везе са другим ботнетом под називом AISURU. Докази указују на то да је Кимволф активан најмање од августа 2025. године и да представља еволуцију AISURU-а засновану на Андроиду. Истраживачи све више верују да је овај ботнет покретао неколико рекордних DDoS кампања примећених крајем прошле године.

Глобални отисак инфекције и циљани уређаји

Иако је Kimwolf присутан широм света, инфекције су у великој мери концентрисане у Вијетнаму, Бразилу, Индији и Саудијској Арабији. Значајан део угрожених система су незванични Андроид паметни телевизори и сет-топ боксови, од којих се многи испоручују са небезбедним подразумеваним конфигурацијама.

Најмање 67% повезаних уређаја открива неаутентификовану услугу Android Debug Bridge (ADB), остављајући их отвореним за даљинско управљање. Истраживачи сумњају да су многи од ових производа унапред инсталирани комплети за развој софтвера (SDK) повезани са проксијем пре него што стигну до потрошача, ефикасно их региструјући у прокси екосистеме који касније постају канали за испоруку злонамерног софтвера.

Како Кимволф шири и одржава контролу

Кимволфови оператери се ослањају на велике стамбене прокси мреже како би скенирали интернет у потрази за Андроид уређајима који покрећу откривене ADB сервисе. Након идентификације, злонамерни програм се инсталира даљински, претварајући уређај у релеј саобраћаја и чвор за напад. Основни терет отвара слушалац на порту 40860 и успоставља одлазну комуникацију са 85.234.91[.]247:1337, одакле прима оперативне команде.

Тек у децембру 2025. године, инфекције су праћене до прокси IP адреса изнајмљених од кинеске компаније IPIDEA, провајдера који се рекламира као водећи светски IP прокси сервис са преко 6,1 милиона дневно освежених IP адреса и 69.000 нових адреса сваког дана. Дана 27. децембра, IPIDEA је имплементирала безбедносно ажурирање које блокира приступ локалним мрежама и осетљивим портовима након што су се појавили докази да су нападачи тунелирали кроз прокси софтвер који су инсталирали корисници како би дошли до интерних уређаја.

Изложеност коју је створила ова техника, аналитичари су описали као невиђену, стављајући милионе потрошачких система директно на пут аутоматизоване експлоатације.

Монетизација: проксији, корисни терети и плаћени напади

Од самог почетка, Кимволфови финансијски мотиви су били јасни. Оператори су агресивно комерцијализовали своју инфраструктуру, претварајући компромитоване уређаје у средства која генеришу профит путем више канала:

  • Продаја стамбеног прокси приступа, оглашавана по цени од само 0,20 долара по ГБ или око 1.400 долара месечно за неограничен пропусни опсег, што је привукло рано усвајање од стране више прокси сервиса.
  • Примена секундарних SDK-ова за монетизацију, посебно Plainproxies Byteconnect SDK-а, који усмерава плаћене прокси задатке са командног сервера на заражене уређаје преко 119 наменских релејних сервера.
  • Злоупотреба ботнета за операције сајбер криминала, укључујући DDoS активности великих размера и примећене кампање крађе акредитива против IMAP сервиса и популарних онлајн платформи.

Присуство претходно заражених ТВ кутија и интеграција комерцијалних SDK-ова за дељење пропусног опсега снажно указују на продубљивање сарадње између оператера ботнета и сегмената прокси економије.

Одбрамбене мере и смањење ризика

Да би се ублажиле сличне претње, потребна је координисана акција, како у окружењу пружалаца услуга, тако и у окружењу крајњих корисника:

  • Прокси мреже треба да блокирају саобраћај намењен ка RFC 1918 адресним опсезима, спречавајући спољне кориснике да дођу до интерних приватних мрежа где се налазе потрошачки уређаји.
  • Организације и појединци морају да онемогуће или ограниче неаутентификовани ADB приступ на Андроид системима, посебно на уграђеним и IoT уређајима који се често испоручују са небезбедним подразумеваним подешавањима.

Без ових контрола, стамбени прокси екосистеми ће наставити да пружају идеално покриће за велико распоређивање злонамерног софтвера и ширење ботнета.

У тренду

Кимволф ботнет кампања

Ботнети
Истраживачи безбедности открили су масивни ботнет фокусиран на Андроид, познат као Кимволф, који је компромитовао преко два милиона уређаја искоришћавајући прокси мреже кућних уређаја. Злонамерни софтвер трансформише свакодневни потрошачки хардвер у глобалну платформу за напад, тихо усмеравајући злонамерни саобраћај и омогућавајући дистрибуиране DDoS (Denial-of-Service) операције великих...

Најгледанији

Злонамерних програма

Пецање, Спам
29,237
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...