A botnet Kimwolf representa uma das maiores ameaças cibernéticas atuais, especialmente para usuários de dispositivos Android. Descoberta pela empresa de cibersegurança Synthient, essa rede maliciosa já comprometeu mais de 2 milhões de aparelhos, com destaque para TV Box Android clandestinos. Além disso, ela está ligada à botnet Aisuru, responsável por infectar 1,8 milhões de dispositivos e executar 1,7 bilhões de ataques DDoS.
Como a botnet Kimwolf opera?
A botnet Kimwolf atua principalmente em TV Box Android, utilizando técnicas avançadas para evitar detecção. Ela emprega funções como DDoS, encaminhamento de proxy e reverse shell, além de criptografar dados sensíveis com Stack XOR. Além disso, usa DNS sobre TLS para mascarar suas comunicações e autentica comandos com assinaturas digitais de curva elíptica.
Versões recentes da botnet Kimwolf implementam o EtherHiding, uma técnica que explora domínios de blockchain para resistir a tentativas de desmantelamento. Em apenas três dias, pesquisadores identificaram cerca de 2,7 milhões de IPs interagindo com a rede, demonstrando sua escala global.
Expansão e monetização da botnet
Nos últimos meses, a botnet Kimwolf cresceu exponencialmente, explorando redes residenciais. Muitos dispositivos TV Box Android clandestinos são vendidos pré-infectados, conectando-se automaticamente à rede de bots. O Brasil lidera as infecções, seguido por Índia, Arábia Saudita e Vietnã.
Os cibercriminosos monetizam as infecções ao:
- Vender a instalação de SDKs como ByteConnect;
- Revender banda larga;
- Permitir preenchimento de credenciais em massa.
Recomendações de segurança
A Synthient recomenda que provedores de proxy bloqueiem portas arriscadas. Além disso, usuários devem verificar e eliminar dispositivos infectados. Em casos extremos, a destruição do aparelho pode ser necessária para evitar danos maiores.
Portanto, a botnet Kimwolf representa um risco significativo, exigindo atenção redobrada de usuários e empresas de segurança.