Η Kimwolf Android Botnet κατέλαβε 1,8 εκατομμύρια συσκευές Android παγκοσμίως

Ένα τεράστιο botnet που στοχεύει συσκευές Android έχει αναδειχθεί ως μία από τις πιο σημαντικές απειλές στο τοπίο της κυβερνοασφάλειας σήμερα.

Με το όνομα Kimwolf, αυτό το εξελιγμένο κακόβουλο λογισμικό έχει θέσει σε κίνδυνο περίπου 1,8 εκατομμύρια συσκευές Android παγκοσμίως, συμπεριλαμβανομένων έξυπνων τηλεοράσεων, αποκωδικοποιητών, tablet και άλλων συστημάτων που βασίζονται σε Android.

Οι ερευνητές ασφαλείας ανακάλυψαν το botnet όταν ένας αξιόπιστος συνεργάτης της κοινότητας παρείχε το αρχικό δείγμα τον Οκτώβριο του 2025, το οποίο χρησιμοποίησε έναν τομέα εντολών και ελέγχου που κατατάχθηκε δεύτερος στην παγκόσμια κατάταξη δημοτικότητας τομέα του Cloudflare.

Η απήχηση του botnet εκτείνεται σε 222 χώρες και περιοχές, με την υψηλότερη συγκέντρωση μολυσμένων συσκευών στη Βραζιλία (14,63%), στην Ινδία (12,71%) και στις Ηνωμένες Πολιτείες (9,58%).

Οι μολυσμένες συσκευές διανέμονται σε πολλές ζώνες ώρας παγκοσμίως, καθιστώντας την ολοκληρωμένη παρακολούθηση δύσκολη.

Η κλίμακα αυτής της επιχείρησης καταδεικνύει την ικανότητα των επιτιθέμενων να δημιουργήσουν και να διατηρήσουν μια τεράστια υποδομή δικτύου ικανή να εξαπολύσει καταστροφικές επιθέσεις στον κυβερνοχώρο σε παγκόσμια κλίμακα.

Αναλυτές Xlab Qianxin αναγνωρισθείς Το Kimwolf ως ένα εξαιρετικά εξελιγμένο botnet που έχει μεταγλωττιστεί χρησιμοποιώντας το Android NDK, το οποίο ενσωματώνει τυπικές δυνατότητες επίθεσης DDoS μαζί με λειτουργίες προώθησης διακομιστή μεσολάβησης, αντίστροφου κελύφους και διαχείρισης αρχείων.

Το κακόβουλο λογισμικό χρησιμοποιεί προηγμένες τεχνικές αποφυγής που σπάνια παρατηρούνται σε παρόμοιες απειλές, συμπεριλαμβανομένου του πρωτοκόλλου DNS μέσω TLS (DoT) για να παρακάμψει τα παραδοσιακά συστήματα ανίχνευσης ασφαλείας και την προστασία ψηφιακής υπογραφής που βασίζεται σε ελλειπτικές καμπύλες για επαλήθευση εντολών.

Μηχανισμός μόλυνσης

Ο μηχανισμός μόλυνσης αποκαλύπτει ενδιαφέρουσες τεχνικές λεπτομέρειες σχετικά με το πώς ο Kimwolf επιμένει σε παραβιασμένες συσκευές. Το κακόβουλο λογισμικό λειτουργεί μέσω ενός αρχείου APK που εξάγει και εκτελεί ένα εγγενές δυαδικό ωφέλιμο φορτίο που είναι μεταμφιεσμένο ως νόμιμες υπηρεσίες συστήματος.

Κατά την εκτέλεση, δημιουργεί μια υποδοχή τομέα Unix με το όνομα της έκδοσης botnet για να διασφαλίσει ότι μόνο μία παρουσία εκτελείται ταυτόχρονα σε κάθε συσκευή.

Στη συνέχεια, το κακόβουλο λογισμικό αποκρυπτογραφεί τους ενσωματωμένους τομείς εντολών και ελέγχου και χρησιμοποιεί το πρωτόκολλο DoT για να ρωτήσει δημόσιους διακομιστές DNS στη θύρα 853 για να αποκτήσει πραγματικές διευθύνσεις IP C2, αποκρύπτοντας έτσι τα μοτίβα επικοινωνίας του από τα εργαλεία παρακολούθησης δικτύου.

Για την αποκρυπτογράφηση ευαίσθητων δεδομένων, συμπεριλαμβανομένων των διευθύνσεων C2, η Kimwolf χρησιμοποιεί λειτουργίες Stack XOR σε κρυπτογραφημένες συμβολοσειρές. Οι ερευνητές αυτοματοποίησαν με επιτυχία τη διαδικασία αποκρυπτογράφησης χρησιμοποιώντας τεχνικές εξομοίωσης, αποκαλύπτοντας πολλαπλούς κρυφούς τομείς C2 ενσωματωμένους στο δυαδικό αρχείο.

Η επικοινωνία δικτύου του κακόβουλου λογισμικού χρησιμοποιεί πάντα κρυπτογράφηση TLS με μια σταθερή μορφή σώματος κεφαλίδας που περιέχει μαγικές τιμές, τύπους μηνυμάτων, αναγνωριστικά και αθροίσματα ελέγχου CRC32.

Η επικοινωνία μεταξύ των μολυσμένων bots και της υποδομής C2 ακολουθεί έναν εξελιγμένο μηχανισμό χειραψίας τριών σταδίων που περιλαμβάνει φάσεις εγγραφής, επαλήθευσης και επιβεβαίωσης.

Το στάδιο επαλήθευσης εφαρμόζει αλγόριθμους ψηφιακής υπογραφής Elliptic Curve, διασφαλίζοντας ότι εκτελούνται μόνο επαληθευμένες εντολές από νόμιμους διακομιστές C2. Αυτό το μέτρο ασφαλείας σχεδιάστηκε ειδικά για την αποτροπή μη εξουσιοδοτημένων καταργήσεων της υποδομής botnet.

Μεταξύ 19 και 22 Νοεμβρίου, η Kimwolf επέδειξε τις επιθετικές της ικανότητες εκδίδοντας 1,7 δισεκατομμύρια εντολές επίθεσης DDoS που στοχεύουν διάφορες διευθύνσεις IP παγκοσμίως.

Το botnet υποστηρίζει 13 διαφορετικές μεθόδους επίθεσης DDoS, συμπεριλαμβανομένων των πλημμυρών UDP, των πλημμυρών TCP SYN και των επιθέσεων υποδοχών SSL, παρέχοντας στους εισβολείς ευέλικτες επιλογές για διαφορετικά σενάρια στόχων.