Negli ultimi mesi la botnet Kimwolf è cresciuta in modo esplosivo e, secondo diverse analisi, avrebbe compromesso oltre 2 milioni di dispositivi nel mondo. Il punto più critico non è solo la dimensione, ma il modo in cui Kimwolf riesce a entrare nella rete locale, cioè dietro il router di casa o dell’ufficio, dove molti utenti credono di essere al sicuro. Una volta attiva, la botnet trasforma i dispositivi infetti in strumenti per traffico malevolo come ad fraud, tentativi di account takeover, scraping massivo di contenuti e attacchi DDoS in grado di rendere irraggiungibili siti web anche per giorni.

Kimwolf sfrutta in particolare le reti di residential proxy, servizi che permettono di instradare la navigazione attraverso connessioni domestiche reali per apparire in una città o in un paese specifico. Il malware che converte un dispositivo in nodo proxy è spesso nascosto in app poco affidabili, giochi o VPN, ma un vettore molto comune sono i box Android TV non ufficiali venduti su grandi marketplace e spesso pubblicizzati con la promessa di streaming gratuito di contenuti a pagamento. Il costo reale è che questi dispositivi possono arrivare già con componenti indesiderati preinstallati, inclusi moduli proxy rivenduti a terzi.

Un altro bersaglio ricorrente sono le cornici digitali con sistema Android, diffuse e spesso prive di adeguate misure di sicurezza. Due problemi si ripetono: presenza di software malevolo preinstallato oppure richiesta di installare store alternativi e app non verificate, e assenza di autenticazione solida su componenti di rete e servizi esposti.

La diffusione di Kimwolf è stata accelerata anche da una debolezza nei controlli di alcuni provider di proxy: tramite configurazioni DNS e domini che risolvono verso indirizzi privati, gli attaccanti possono aggirare i blocchi verso le reti interne e raggiungere risorse in LAN. In questo scenario, un ospite con smartphone compromesso collegato al tuo Wi-Fi può rendere il tuo IP disponibile come proxy, permettendo poi agli attaccanti di fare tunnel verso la tua rete locale e cercare dispositivi vulnerabili.

Molti box Android TV risultano inoltre spediti con Android Debug Bridge attivo di default, in ascolto su porta 5555, consentendo accesso remoto senza autenticazione in contesti insicuri. Per ridurre il rischio è consigliabile evitare dispositivi non certificati e brand sconosciuti, limitare le app installate, usare rete guest per gli ospiti e separare i dispositivi IoT dal resto della rete quando possibile.