Kimwolfと呼ばれる強力な新しいボットネットが世界中で200万台以上のデバイスに感染し、それらを乗っ取ってDDoS攻撃を実行し、広告不正を行い、さらに 住宅用プロキシネットワーク を通じて帯域幅を密かに販売していた。
感染規模を突き止めたセキュリティ企業 Synthient によると、侵害されたシステムの大半は、Amazon、Walmart、Neweggといったプラットフォーム上で第三者販売業者が販売する Android TVボックス や デジタルフォトフレーム だという。
Synthientの創設者である Benjamin Brundage は、Kimwolfが プリインストールされたマルウェア と、複数の 住宅用プロキシサービス に存在する脆弱性を組み合わせて拡散していることを明らかにした。
これらのプロキシネットワークは、ウェブスクレイピングや匿名化ブラウジングのための合法的なツールとして宣伝されることが多い。しかし、その多くは安全でないデバイスやアプリに依存しており、ユーザーの接続を密かにプロキシノードへ変換し、他者に貸し出している。
Brundageは、Kimwolfの攻撃者が脆弱なプロキシ設定を悪用し、 DNSレコード を改ざんして[RFC 1918]で定義された ローカルIPアドレス を指すようにしたと説明した。この手口により、ルーターやファイアウォールの背後に隠れた家庭内のプライベートネットワークへ「トンネル」して侵入でき、かつて安全だと考えられていた領域に到達できたという。
侵入後、Kimwolfは Android Debug Bridge(ADB) が有効になっているデバイスをスキャンし、認証なしのrootアクセスを可能にして追加のマルウェアをインストールした。
Synthientの調査では、感染の大半が、広告上1億以上のエンドポイントをうたう世界最大級のプロキシプロバイダーの一つである IPIDEA に関連していることが判明した。研究者らは、Kimwolfがテイクダウン後であっても自己再構築するためにIPIDEAのネットワークを活用していたことを突き止めた。
影響を受けたIPIDEAプロキシの3分の2は 保護されていないAndroidデバイス で、主に非公式ファームウェアを実行しているものだった。
2025年12月にSynthientから通知を受けた後、IPIDEAは「レガシーのテストモジュール」によりローカルネットワークへの意図しないアクセスが可能になっていたことを確認した。同社は、その後危険な経路を遮断し、内部IPレンジに対するDNS 解決を制限したと述べた。
研究者らはまた、感染した Android TVボックス が、メーカー出荷時点でADBモードがデフォルトでオンになっており、事実上リモート操作に対して開放された状態になっていたことも発見した。Superboxシリーズや低価格のストリーミング機器の各種バリエーションが、特に多く悪用されたデバイスに含まれていた。
セキュリティ企業 XLab はその後、Kimwolfの世界的な広がりを確認し、 インド、ブラジル、米国、ロシア で感染クラスターが見られることを示した。このボットネットは、住宅用ネットワーク内で絶えず変化するIPアドレスに支えられ、妨害を受けても迅速に再編成できる。
専門家は、 安価で無名のAndroid TVボックス や未検証のアプリストアを避けるようユーザーに警告している。正規メーカーはデバッグ機能を無効化し、偽造デバイスには欠けているセキュリティ更新を提供する。
Synthientは、ユーザーが自分のIPアドレスがKimwolf感染システムに記録されていたかどうかを確認できるオンラインチェッカーを synthient.com/check で公開した。影響を受けたハードウェアを使用している人は、直ちにデバイスを 切断して交換 するよう強く求められている。
翻訳元: https://cyberpress.org/kimwolf-botnet/