サイバーセキュリティ企業Synthientによると、Kimwolfボットネットは主に住宅用プロキシネットワークを通じて、200万台を超えるAndroidデバイスに感染している。
少なくとも2025年8月から活動しているKimwolfボットネットは、最近XLabによって詳細が明らかにされ、同社は大規模な分散型サービス妨害(DDoS)攻撃を仕掛ける可能性があると警告した。
主に住宅ネットワークに設置されたAndroid TVセットトップボックスで構成されるKimwolfは、アプリのインストールやプロキシ帯域の販売など、他の収益化の機会も運用者に提供していると、Synthientは説明している。
同社によれば、このボットネットの規模は従来の推定よりはるかに大きい可能性があり、毎週およそ1,200万のユニークIPアドレスが関連して観測されているという。
Synthientは慎重に、Kimwolfが200万台強のデバイスに感染したと推定しており、その主因は露出したAndroid Debug Bridge(ADB)サービスの悪用だとしている。これらのデバイスの多くはベトナム、ブラジル、インド、サウジアラビアにある。
このボットネットは過去2か月で急速に拡大した。住宅用プロキシネットワークを標的とする新しい手法によるもので、感染の多くが、中国拠点のIPIDEAが貸し出し用に提供するプロキシIPアドレスに関連していた。IPIDEAは世界最大級の住宅用プロキシネットワークの一つだ。
調査報道記者のブライアン・クレブスが指摘するように、このボットネットは主に、低価格で販売される非公式のAndroid TVボックスを標的としている。これらには安全でないコンポーネントが含まれており、ユーザーに、それらをプロキシノードへと変えるソフトウェアのインストールを求めることが多い。
Synthientの調査により、新たに取り込まれたデバイスの多くが、マルウェアに事前感染した状態で販売されていたことが判明した。IPIDEAの正規バイナリではなく、Kimwolfボットへと変える改変版が含まれていたという。
12月下旬、IPIDEAは根本的な問題に対処し、多数の露出したポートへのアクセスを遮断するためのパッチを展開した。
「12月17日、上位のプロキシプロバイダーに対して11通の脆弱性に関するメールを送付した。通知した各プロバイダーは影響の程度がさまざまだったが、相当数がローカルネットワーク上のデバイスへのアクセスを許していた」とSynthientは述べている。
「Synthientのリサーチチームは、Kimwolfが標的としたプロバイダーの完全な一覧を確信を持って評価できていない。現時点の証拠は、すべてのポートへのアクセスを可能にしていたIPIDEAが主な標的だったことを示している」と同社は続ける。
Kimwolfの運用者は、約30Tbps規模のDDoS攻撃で感染デバイスを悪用する(こうした攻撃は誤ってAisuruによるものとされてきた)だけでなく、住宅用プロキシをGbあたり0.20セントという低価格で積極的に販売してもいる。
「事前感染したTVボックスの発見と、Byteconnectのような二次的SDKを通じたこれらボットの収益化は、脅威アクターと商用プロキシプロバイダーの関係がより深まっていることを示している。IPIDEAとの協力によりパッチ適用は成功したが、より広い状況は依然として不安定だ」とSynthientは述べている。
翻訳元: https://www.securityweek.com/kimwolf-android-botnet-grows-through-residential-proxy-networks/
