Botnet Kimwolf já infetou mais de dois milhões de dispositivos Android

A botnet Kimwolf está a crescer rapidamente e já infetou mais de dois milhões de dispositivos Android, explorando sobretudo redes de proxies residenciais, de acordo com uma análise da empresa de cibersegurança Synthient. A atividade maliciosa está ativa desde, pelo menos, agosto de 2025.

Segundo a investigação, a Kimwolf é composta maioritariamente por Android TV set-top boxes ligadas a redes residenciais. Para além da capacidade de lançar ataques de distributed denial-of-service (DDoS), a botnet permite aos operadores monetizar os dispositivos comprometidos através da instalação forçada de aplicações e da venda de largura de banda como proxies residenciais.

A dimensão real da botnet poderá ser superior às estimativas iniciais. A Synthient refere que são observados cerca de 12 milhões de endereços IP únicos associados à Kimwolf todas as semanas, embora a estimativa conservadora aponte para pouco mais de dois milhões de dispositivos infetados. A maioria das infeções resulta da exploração de serviços Android Debug Bridge (ADB) expostos.

Os países mais afetados incluem Vietname, Brasil, Índia e Arábia Saudita. Nos últimos dois meses, o crescimento acelerou devido a uma técnica que visa especificamente redes de proxies residenciais. Muitas das infeções foram associadas a endereços IP disponibilizados por fornecedores de proxies, incluindo a empresa chinesa IPIDEA.

De acordo com a investigação, uma parte significativa dos dispositivos foi vendida já infetada. Em vez de binários legítimos, alguns equipamentos incluíam versões modificadas de software que os transformavam automaticamente em nós da botnet Kimwolf. Este cenário afeta sobretudo Android TV boxes não oficiais e de baixo custo, frequentemente comercializadas com componentes inseguros.

No final de dezembro, a IPIDEA aplicou um patch para mitigar o problema, bloqueando o acesso a múltiplas portas expostas. A Synthient refere que alertou vários fornecedores de proxies sobre vulnerabilidades que permitiam acesso indevido a dispositivos em redes locais, sendo a IPIDEA identificada como o alvo principal devido à permissividade da sua configuração.

Para além de ataques DDoS de grande escala, os operadores da Kimwolf estão envolvidos na venda agressiva de proxies residenciais, com preços tão baixos como 0,20 dólares por gigabyte. Algumas destas atividades foram inicialmente atribuídas de forma incorreta a outras botnets.

A Synthient alerta que a descoberta de dispositivos vendidos pré-infetados e a monetização através de SDK secundários indicam uma relação cada vez mais estreita entre cibercriminosos e fornecedores comerciais de proxies. Apesar das medidas corretivas já implementadas, a empresa considera que o ecossistema continua frágil e sujeito a novos abusos.