A botnet conhecida como Kimwolf já infectou mais de 2 milhões de dispositivos Android ao se infiltrar por meio de redes de proxy residencial, segundo análise da empresa Synthient.
De acordo com o relatório divulgado na última semana, "os principais operadores do botnet Kimwolf monetizam a operação por meio da instalação de aplicativos, venda de largura de banda de proxies residenciais e comercialização da funcionalidade para ataques DDoS".
O Kimwolf foi documentado publicamente pela primeira vez pelo QiAnXin XLab no mês passado, durante uma investigação que revelou suas conexões com outro botnet chamado AISURU.
Ativo desde pelo menos agosto de 2025, o Kimwolf é considerado uma variante para Android do AISURU, com evidências crescentes de que esteve por trás de uma série de ataques DDoS recordes no fim do ano passado.
Esse malware transforma os dispositivos infectados em pontos de retransmissão para tráfego malicioso, orquestrando ataques distribuídos de negação de serviço (DDoS) em larga escala.
A maior parte das infecções está concentrada no Vietnã, Brasil, Índia e Arábia Saudita, com a Synthient monitorando cerca de 12 milhões de endereços IP únicos semanalmente.
Os ataques que propagam o botnet têm como alvo principalmente aparelhos Android com o serviço Android Debug Bridge (ADB) exposto. A infecção ocorre por meio de uma infraestrutura de varredura que utiliza proxies residenciais para distribuir o malware. Cerca de 67% dos dispositivos conectados à botnet têm ADB ativado por padrão, sem exigir autenticação para acesso.
Suspeita-se que muitos desses dispositivos já venham com kits de desenvolvimento de software (SDKs) dos provedores de proxy pré-instalados, o que permite alistá-los discretamente na botnet. Entre os aparelhos mais afetados estão smart TVs e set-top boxes baseados em sistemas Android não oficiais.
Até dezembro de 2025, as infecções Kimwolf ainda utilizavam endereços de proxy alugados junto à provedora chinesa IPIDEA, que implementou um patch de segurança em 27 de dezembro para bloquear o acesso a dispositivos de rede local e portas sensíveis.
A IPIDEA se descreve como o “principal provedor mundial de proxies IP”, com mais de 6,1 milhões de endereços IP atualizados diariamente e 69 mil novos IPs adicionados por dia. Na prática, o modus operandi consiste em explorar a rede de proxies da IPIDEA e de outros fornecedores para atravessar as redes locais dos sistemas que executam o software de proxy e instalar o malware.
A carga principal do Kimwolf escuta na porta 40860 e se conecta ao endereço 85[.]234.91[.]247:1337 para receber comandos adicionais.
Segundo a Synthient, “a escala dessa vulnerabilidade é inédita, expondo milhões de dispositivos a ataques”. Além disso, o botnet infecta os dispositivos com um serviço de monetização de largura de banda chamado Plainproxies Byteconnect SDK, indicando tentativas amplas de geração de receita.
Esse SDK utiliza 119 servidores de retransmissão para receber tarefas de proxy enviadas por um servidor de comando e controle, executadas pelos dispositivos comprometidos.
A Synthient também identificou que a infraestrutura tem sido usada para ataques de credential stuffing direcionados a servidores IMAP e sites populares na internet. “A estratégia de monetização do Kimwolf tornou-se clara desde cedo pela agressiva venda de proxies residenciais”, afirmou a empresa. “Com ofertas que chegam a apenas US$ 0,002 por GB ou até US$ 1.400 por mês para banda ilimitada, o botnet conquistou rapidamente diversos provedores de proxy”.
A descoberta de set-top boxes pré-infectados e a monetização desses bots por meio de SDKs secundários, como o Byteconnect, indicam uma relação cada vez mais próxima entre os atores maliciosos e os provedores comerciais de proxy.
Para reduzir riscos, recomenda-se que provedores de proxy bloqueiem solicitações para endereços definidos na RFC 1918, que englobam faixas de IP privadas usadas em redes locais. Além disso, é fundamental que organizações protejam dispositivos com shells ADB não autenticados para impedir acessos não autorizados.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...