Российских пользователей предупредили, что около 1,8 млн Android-телевизоров стали частью хакерского ботнета Kimwolf

Исследовательская группа QiAnXin XLab опубликовала данные о появлении новой масштабной вредоносной сети, получившей название Kimwolf. По оценкам специалистов, эта структура объединила около 1,8 млн устройств по всему миру. Основу ботнета составляют телевизоры с Android, ТВ-приставки и планшеты, подключённые к домашним сетям. Большая часть заражённых гаджетов работает на популярных моделях TV BOX, X96Q, MX10, SuperBOX и SmartTV.

Аналитики описали архитектуру вредоносного ПО как крайне функциональную. Вредонос разработан с использованием Android NDK, способен выполнять команды по распределённой атаке на сервера, работать в режиме прокси, открывать обратный доступ к системе, а также управлять файлами.

Простое на первый взгляд устройство в результате становится полноценным узлом для преступной инфраструктуры, пригодным как для DDoS-атак, так и для нелегальной монетизации интернет-ресурсов.

Согласно данным XLab, только за период с 19 по 22 ноября 2025 года ботнет отправил свыше 1,7 млрд DDoS-команд. В этот же промежуток один из доменов управления Kimwolf вошёл в список самых активных адресов по версии Cloudflare и даже временно обогнал Google по количеству запросов. Это отражает интенсивность работы ботнета и широту охвата атакуемых систем.

География заражения охватывает десятки стран, но наиболее пострадали пользователи в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах. При этом точный механизм попадания вредоносного ПО на устройства пока не описан полностью. Исследователи предполагают, что используется цепочка скриптов и уязвимостей, характерных для прошивок недорогих ТВ-приставок и телевизоров.

Особый интерес вызывает связь Kimwolf с другой вредоносной системой — AISURU. Обе сети используют одинаковые методы распространения, эксплуатируют одни и те же устройства и, по мнению специалистов, управляются одной преступной группировкой. Предполагается, что Kimwolf стал своеобразным продолжением AISURU, направленным на обход фильтрации, изменение инфраструктуры и усиление устойчивости к блокировке.

Инфраструктура Kimwolf уже подвергалась попыткам остановки. В декабре её домены управления блокировались как минимум трижды. В ответ злоумышленники начали использовать альтернативные методы — например, Ethereum Name Service. Новые версии вредоносного ПО извлекают IP-адреса управляющих узлов напрямую из данных смарт-контрактов, размещённых в блокчейне, что фактически делает такие адреса недоступными для стандартных методов фильтрации и блокировки.

Несмотря на название ботнета и наличие функции DDoS, подавляющее большинство его активности связано с другими задачами. Более 96% всех зафиксированных команд связаны с использованием устройств как прокси-узлов. Исследователи пришли к выводу, что злоумышленники организовали на базе заражённых телевизоров и приставок глобальную сеть для перенаправления трафика. С помощью клиента на языке Rust и встроенного SDK операторы ботнета получают доступ к пропускной способности устройств и перепродают этот трафик, извлекая прибыль с минимальными затратами.