Android-ботнет Kimwolf заразил миллионы устройств через прокси

Android-ботнет Kimwolf заразил миллионы устройств через прокси

Android-ботнет Kimwolf заразил миллионы устройств через прокси

Исследователи зафиксировали масштабную активность Android-ботнета Kimwolf, который, по оценкам компании Synthient, уже заразил более 2 миллионов устройств. Причём делает он это не напрямую, а довольно изобретательно — через сети резидентских прокси, маскируя атаки под обычный пользовательский трафик.

По данным аналитиков, операторы Kimwolf активно монетизируют ботнет сразу по нескольким направлениям: продают установки приложений, сдают в аренду резидентский прокси-трафик и предлагают услуги DDoS-атак. И, судя по масштабам, спрос на всё это есть.

Впервые Kimwolf публично описали специалисты QiAnXin XLab всего месяц назад, обратив внимание на его связь с другим ботнетом — AISURU. Сейчас исследователи считают Kimwolf Android-вариантом этой сети. Более того, есть основания полагать, что именно он стоял за серией рекордных DDoS-атак, зафиксированных в конце прошлого года.

Заражённые устройства превращаются в «транзитные узлы» для вредоносного трафика и используются для DDoS в промышленных масштабах. Основные очаги заражений — Вьетнам, Бразилия, Индия и Саудовская Аравия. Synthient отмечает, что ботнет оперирует примерно 12 миллионами уникальных IP-адресов в неделю.

 

Главная точка входа — Android Debug Bridge (ADB), оставленный открытым и незащищённым. Более 67% устройств в ботнете имеют включённый ADB без аутентификации. Атакующие сканируют Сеть с помощью инфраструктуры на базе резидентских прокси и устанавливают зловред напрямую. В зоне риска — неофициальные ТВ-приставки и смарт-телевизоры, которые нередко поставляются уже с сомнительными SDK.

Отдельный интерес вызывает связь кампании с коммерческими прокси-сервисами. В декабре 2025 года заражения Kimwolf активно использовали IP-адреса, сдаваемые в аренду китайской компанией IPIDEA — крупным поставщиком прокси с миллионами обновляемых IP. После инцидента IPIDEA закрыла доступ к локальным сетям и чувствительным портам, но, по мнению исследователей, ущерб к тому моменту уже был нанесён.

Схема проста: через прокси-сеть атакующие проникают во внутренние сети устройств, на которые установлен прокси-софт, и загружают основной пейлоад. Он слушает порт 40860 и связывается с управляющим сервером для получения команд.

На этом монетизация не заканчивается. Заражённые устройства также получают SDK сервиса Plainproxies Byteconnect, который превращает их в источник платного интернет-трафика. По данным Synthient, инфраструктура использует 119 ретрансляционных серверов и задействуется для атак вида credential stuffing на IMAP-серверы и популярные веб-сервисы.

«Масштаб проблемы оказался беспрецедентным — миллионы устройств были фактически открыты для атак», — отмечают аналитики. — «Особенно тревожный сигнал — обнаружение предустановленных заражённых ТВ-боксов и всё более тесная связка между киберпреступниками и коммерческими прокси-провайдерами».

В качестве мер защиты эксперты советуют прокси-сервисам блокировать обращения к приватным IP-диапазонам (RFC 1918), а организациям и пользователям — жёстко закрывать доступ к ADB и не использовать устройства с подозрительным или неофициальным Android-софтом. В противном случае телевизор или приставка легко могут превратиться в часть чужого ботнета.

Мошенники пугают россиян блокировкой СБП и требуют коды из СМС

Телефонные мошенники снова нашли тему, которая звучит достаточно сложно, чтобы человек растерялся. Теперь россиян запугивают якобы подозрительной активностью в цепочке переводов и грозят блокировкой доступа к Системе быстрых платежей.

О новой схеме РИА Новости рассказали в пресс-службе платформы «Мошеловка» Народного фронта.

Потенциальной жертве звонят или пишут лжесотрудники банка, контролирующего органа или другой важной структуры. Дальше начинается спектакль про подозрительные переводы, технический сбой или проблемы с идентификацией. Жертве сообщают, что из-за этого доступ к СБП могут заблокировать.

Чтобы срочно всё исправить, мошенники предлагают пройти верификацию через специальный сервис. На деле под этим предлогом они пытаются выманить код из СМС, заставить установить вредоносное приложение под видом официального инструмента или убедить перевести деньги на безопасный счёт.

В «Мошеловке» отмечают, что схема особенно актуальна в июле: злоумышленники используют тему интеграции налоговых идентификаторов в банковские системы и рассчитывают на то, что большинство клиентов не знает технических деталей работы СБП.

Главное правило здесь простое: никаких дополнительных подтверждений для работы Системы быстрых платежей пользователю проходить не нужно. Обмен данными между ведомствами и банками происходит автоматически, без звонков с просьбами назвать код или установить приложение.

Если собеседник говорит о блокировке переводов, просит код из СМС, требует поставить программу или перевести деньги на резервный счёт, разговор лучше сразу закончить. А потом самостоятельно позвонить в банк по номеру с официального сайта или из приложения.

RSS: Новости на портале Anti-Malware.ru