Вирус Kimwolf заражает миллионы Android-телевизоров и приставок, превращая устройства в анонимных помощников хакеров

Новый вирус для Android-устройств за месяц распространился с угрожающей скоростью. По данным компании Synthient, ботнет Kimwolf уже охватил более 2 млн устройств — преимущественно ТВ-приставок и смарт-телевизоров. Аналитики утверждают, что реальная инфраструктура может быть ещё шире, т. к. система оперирует до 12 млн уникальных IP-адресов в неделю.

Главная особенность сети — использование механизма резидентских прокси. Это позволяет вредоносному трафику сливаться с обычной пользовательской активностью, делая выявление заражённых устройств крайне затруднительным. При этом ботнет применяют сразу в нескольких направлениях: установка мобильных приложений по заказу, аренда прокси-доступа и проведение DDoS-атак промышленного масштаба.

Впервые о Kimwolf стало известно в конце 2025 года, когда специалисты лаборатории QiAnXin XLab установили его связь с уже известным ботнетом AISURU. Согласно текущей аналитике, Kimwolf можно рассматривать как Android-ответвление этой сети, с ориентиром на массовые бытовые устройства — уязвимые, дешёвые, часто не обновляемые и с сомнительным программным обеспечением на борту.

Регионы с наибольшим числом заражений — Вьетнам, Бразилия, Индия и Саудовская Аравия. В этих странах, по статистике Synthient, особенно распространены несертифицированные устройства с предустановленными приложениями сомнительного происхождения. Именно они и становятся первым звеном в заражении.

Критическим уязвимым местом остаётся Android Debug Bridge (ADB). Более 67% заражённых устройств оказались с открытым ADB-портом, без какой-либо авторизации. Через него вирус получает доступ к системе и устанавливается напрямую. Это позволяет обойти многие формы защиты и немедленно подключить устройство к сети ботнета.

Специалисты предупреждают: речь идёт не просто о вредоносной активности, а об устойчивой бизнес-модели. Kimwolf превращает домашние устройства в платформу для анонимной доставки вредоносного трафика, а сама инфраструктура активно сдается в аренду заинтересованным сторонам. Появление таких схем указывает на сближение киберпреступников с легальными игроками рынка прокси-услуг, что усиливает риски масштабных атак на финансовые, государственные и корпоративные цели.

Отдельного внимания требуют устройства с заводским предустановленным ПО. В некоторых случаях вредоносная активность закладывается в систему ещё на этапе сборки — в обход пользователя. Это ставит под сомнение безопасность целых категорий ТВ-приставок, продаваемых через малоизвестные платформы.