新たに発見された「Kimwolf」と呼ばれるAndroidボットネットが、世界中で180万台を超えるデバイスを密かに侵害しており、主に家庭内ネットワークのAndroid TVボックスを標的にしています。
この大規模な作戦は、ある時点でそのコマンド&コントロール(C2)ドメインが世界的な人気ランキングでGoogleを上回ったこともあり、IoTマルウェアの高度化と規模の面で大きな進化を示しています。
XLabのセキュリティ研究者は2025年10月下旬にこの脅威を初めて特定し、その急速な拡大を指摘しました。12月上旬までに、ボットネットは約270万の異なる送信元IPアドレスを蓄積し、控えめな推定でも180万台の感染デバイスが稼働しているとされています。
このマルウェアは、SuperBOX、X96Q、MX10といった人気モデルを含むAndroidベースのセットトップボックスを明確に標的としており、家庭用エンターテインメント機器をサイバー犯罪者にとって強力な武器へと変えてしまいます。
Kimwolfは、同種のマルウェアではめったに見られない高度な回避技術によって際立っています。
DNS over TLS(DoT)を用いて通信を隠し、さらに最近では「EtherHiding」技術を採用し、Ethereum Name Service(ENS)ドメインを利用することで、そのインフラをほぼ停止不可能にしています。
統計的には、累計の感染IPは366万を超え、12月4日に活動のピークに達し、単日ノードIP数は最大1,829,977に達しました。
この耐性により、従来のドメインが押収された後でも、ボットネットは制御を維持できます。
Kimwolf Androidボットネット
技術分析により、このマルウェアはNative Development Kit(NDK)を用いてコンパイルされており、DDoS攻撃、プロキシ転送、リバースシェルなどを含む包括的な機能を統合していることが明らかになりました。
Downloaderサーバー93.95.112.59で取得されたスクリプトは、kimwolf(mreo31.apk)とaisuru(meow217)を直接関連付けていました。
ボットネットの攻撃的な性質は、11月19日から22日にかけて完全に露呈し、わずか3日間で驚異的な17億件のDDoS攻撃コマンドを放ちました。
この「狂気じみた」連続攻撃は世界中のIPアドレスを標的にしており、戦術的な利益というよりも、力の誇示であった可能性が高いとみられます。
研究者は、ボットネットの総攻撃能力が毎秒30テラビット(Tbps)に迫ると推定しており、現在活動中のボットネットの中でも最も強力な部類に入ります。
DDoS攻撃の標的は世界中のさまざまな業界に広がっています。攻撃対象は主に米国、中国、フランス、ドイツ、カナダなどの地域に集中しています。
興味深いことに、フォレンジック分析によりKimwolfは悪名高い「Aisuru」ボットネットグループと関連付けられています。コード比較により、共有リソース、同一の暗号化キー、特定の署名証明書の再利用が判明し、Aisuruの運用者がインフラを再設計してKimwolfを作り出したこと、そして強化された検知システムを回避する狙いがあった可能性が示されています。
感染ユーザーにとってのセキュリティリスク
攻撃者は、感染デバイスをレジデンシャルプロキシとして貸し出すことで収益化しているようです。
世界中のリビングルームには、パッチ未適用で高性能なAndroidデバイスが何百万台も存在しており、耐障害性が高く大容量帯域のボットネットを構築しようとする高度な脅威アクターにとって、依然として格好の標的となっています。
運用者は「ByteConnect SDK」と呼ばれるコンポーネントを展開することで、侵害されたTVボックス経由でトラフィックを中継でき、現在の感染率に基づけば月額で最大88,000ドル超を稼ぐ可能性があります。
マルウェアの作者は、コード内に挑発的なメッセージも埋め込んでおり、サイバーセキュリティ記者のブライアン・クレブスを名指しして、侮辱的なドメインやテキスト出力で標的にしています。
専門家は、Kimwolfの急速な拡大がスマートTVエコシステムにおける重大なセキュリティギャップを浮き彫りにしていると警告しています。
翻訳元: https://gbhackers.com/kimwolf-android/
