Pesquisadores de cibersegurança identificaram uma nova botnet chamada Kimwolf, responsável por comprometer mais de 2 milhões de dispositivos Android em todo o mundo. O malware vem sendo disseminado por meio da exploração de portas abertas e serviços inseguros, especialmente em TVs inteligentes, set-top boxes e aparelhos com ADB exposto. A Kimwolf é considerada uma botnet modular e altamente ativa. Ela foi projetada para transformar os dispositivos infectados em nós de uma rede distribuída usada para diversos fins maliciosos, incluindo ataques DDoS, venda de acesso via proxy residencial e instalação de aplicativos indesejados.
Grande parte dos dispositivos afetados está em países como Brasil, Índia, Vietnã e Arábia Saudita. O principal vetor de infecção explorado pela Kimwolf é o Android Debug Bridge (ADB), um serviço técnico que, quando mal configurado, permite controle remoto do dispositivo sem autenticação. A botnet se aproveita de dispositivos com ADB exposto à internet, acessando-os diretamente para instalar o malware. Segundo os pesquisadores, os operadores da Kimwolf estão ligados a uma linhagem de malwares Android conhecida como Aisuru, que já havia sido utilizada em ataques anteriores com foco em mineração de criptomoedas e distribuição de spyware. A Kimwolf representa uma evolução dessa família, com foco mais agressivo em controle de rede e monetização. O malware permite que os dispositivos infectados se tornem proxies residenciais, o que atrai cibercriminosos interessados em mascarar suas atividades online. Além disso, os dispositivos também são usados como parte de infraestruturas de ataque, participando de operações coordenadas para sobrecarregar alvos por meio de tráfego malicioso.
Os comandos enviados à botnet revelam uma atividade intensa, com bilhões de requisições registradas a partir da rede de dispositivos infectados. Esse volume de tráfego pode ser direcionado contra alvos específicos, causando instabilidade ou queda completa de sistemas online. Mesmo após derrubadas de domínios de controle, os operadores da Kimwolf têm mostrado capacidade de adaptação, utilizando técnicas como o uso de domínios baseados em blockchain para garantir persistência e dificultar a interrupção da botnet pelas autoridades ou empresas de segurança.
