TokyoBlackHatNews

bleepingcomputer.com 5分で読了

Kimwolf Androidボットネット、住宅用プロキシを悪用して内部デバイスに感染

Image

AisuruマルウェアのAndroid亜種であるKimwolfボットネットは、200万台を超えるホストへと拡大しており、その大半は住宅用プロキシネットワークの脆弱性を悪用して内部ネットワーク上のデバイスを狙うことで感染しています。

研究者は昨年8月以降、このマルウェアの活動が増加していることを観測しました。過去1か月でKimwolfはプロキシネットワークのスキャンを強化し、Android Debug Bridge(ADB)サービスが露出しているデバイスを探しています。

主な標的は、ADB経由で認証なしアクセスを許すAndroidベースのTVボックスやストリーミングデバイスです。侵害されたデバイスは主に、分散型サービス妨害(DDoS)攻撃、プロキシの転売、Plainproxies ByteconnectのようなサードパーティSDKを介したアプリインストールの収益化に利用されています。

Aisuruボットネットは現在、公表された中で最大のDDoS攻撃の原因となっており、Cloudflareの測定ではピーク時に 毎秒29.7テラビット に達しました。

XLab notesのレポートによると、Kimwolf Androidボットネットは12月4日時点で180万台以上の侵害デバイスを抱えていました。

脅威インテリジェンスおよび不正対策のサイバーセキュリティ企業Synthientの研究者は、Kimwolfの活動を追跡しています。同社によれば、侵害デバイス数は約200万台にまで増加し、毎週およそ1,200万のユニークIPアドレスを生み出しているとのことです。

感染したAndroidデバイスの多くは、ベトナム、ブラジル、インド、サウジアラビアにあります。多くのケースで、システムは購入前にプロキシSDKによって侵害されており、これは過去に報告されています。

Image
Kimwolf感染ヒートマップ
出典: Synthient

住宅用プロキシの悪用

Synthientによると、Kimwolfの急速な拡大は主に、住宅用プロキシネットワークを悪用して脆弱なAndroidデバイスへ到達していることによるものです。具体的には、このマルウェアはローカルネットワークのアドレスやポートへのアクセスを許可するプロキシプロバイダーを利用し、プロキシクライアントと同じ内部ネットワーク上で稼働するデバイスと直接やり取りできるようにしています。

2025年11月12日以降、Synthientは、プロキシのエンドポイント経由で露出した認証なしADBサービスを探すスキャン活動の増加を観測しており、ポート5555、5858、12108、3222が標的となっていました。

Android Debug Bridge(ADB)は、アプリのインストール/削除、シェルコマンドの実行、ファイル転送、Androidデバイスのデバッグを可能にする開発・デバッグ用インターフェースです。ネットワーク越しに露出している場合、ADBは不正なリモート接続を許し、Androidデバイスの改変や乗っ取りにつながる可能性があります。

到達可能な場合、ボットネットのペイロードはnetcatまたはtelnet経由で配信され、シェルスクリプトを露出デバイスへ直接パイプしてローカル実行させ、/data/local/tmpに書き込まれました。

Synthientは12月を通じて複数のペイロード亜種を捕捉しましたが、配信手法は変わりませんでした。

Infection overview
感染の概要
出典: Synthient

研究者は、ある住宅用プロキシプールのサンプルで高い露出率を確認し、この種のデバイスがこれらのネットワークに参加してから数分で悪用され得ることを示しました。

「IPIDEAsのプロキシプールの一部である露出デバイスを分析したところ、Androidデバイス全体の67%が認証なしで、リモートコード実行に対して脆弱であることが分かりました」 とSynthientは説明しています。

「我々のスキャンでは、約600万の脆弱なIPが見つかりました[…] これらのデバイスは、プロキシプロバイダーのSDKにより事前感染した状態で出荷されることがよくあります」と研究者は述べています。

影響を受けたプロキシプロバイダーの一つで、全ポートへのアクセスを可能にしていたためKimwolfの主要標的でもあったIPIDEAは、12月28日にSynthientからの警告に対応し、ローカルネットワークおよび広範なポートへのアクセスを遮断しました。

研究者は合計で、Kimwolfの活動で観測された「主要プロキシプロバイダー」に対して、ほぼ12件の脆弱性報告を送付しました。しかし、マルウェアが標的にしているプロキシプロバイダーの全てを研究者が確実に特定することはできません。

Kimwolfへの対策

Synthientは、ユーザーが自分のネットワークデバイスのいずれかがKimwolfボットネットの一部かどうかを特定するのに役立つオンラインスキャナーツールを公開しました。

陽性結果の場合、研究者は感染したTVボックスは「初期化するか破壊すべき」であり、そうしなければボットネットが残存すると提案しています。

一般的な推奨としては、低価格の汎用Android TVボックスを避け、GoogleのChromecast、NVIDIA Shield TV、Xiaomi Mi TV Boxなど、信頼できるOEMの「Google Play Protect認定」デバイスを選ぶことです。

翻訳元: https://www.bleepingcomputer.com/news/security/kimwolf-android-botnet-abuses-residential-proxies-to-infect-internal-devices/

ソース: bleepingcomputer.com
#ADB(Android Debug Bridge) #Aisuruマルウェア #Android TVボックス #Androidボットネット #DDoS攻撃 #Kimwolf #サプライチェーン感染(購入前プリインストール) #プロキシSDK(Plainproxies/Byteconnect) #レジデンシャルプロキシ悪用 #内部ネットワーク侵害

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用