Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Botnet Kimwolf su Android: 2 milioni di dispositivi presi via ADB esposto, DDoS e banda domestica rivenduta
La botnet Kimwolf sta colpendo in modo massiccio il mondo Android, con oltre 2 milioni di dispositivi compromessi e trasformati in nodi utili a traffico malevolo e attacchi DDoS su larga scala. Il punto chiave di questa minaccia è il metodo di infezione: i criminali informatici sfruttano dispositivi con Android Debug Bridge (ADB) esposto e non autenticato, spesso raggiungibile in rete senza protezioni.
Questa condizione è particolarmente comune in prodotti economici e non ufficiali come smart TV Android e set top box, che finiscono per diventare bersagli ideali.
Il malware viene distribuito tramite una infrastruttura di scansione che usa reti di proxy residenziali. In pratica, gli attaccanti si appoggiano a indirizzi IP reali di utenti e dispositivi domestici per effettuare installazioni e movimenti laterali, rendendo più difficile il tracciamento. Una quota rilevante dei dispositivi coinvolti risulta con ADB attivo di default e senza autenticazione, un dettaglio che abbassa drasticamente la soglia tecnica necessaria per prendere il controllo remoto.
Kimwolf non è solo una botnet per DDoS. La monetizzazione è un elemento centrale: gli operatori possono guadagnare tramite installazioni di app, vendita di banda residenziale e offerta di servizi DDoS. In parallelo, è stata osservata l’integrazione con SDK di monetizzazione della banda come Byteconnect, usati per trasformare i dispositivi infetti in proxy operativi che ricevono compiti da server di relay e li eseguono localmente. Questo modello alimenta un mercato grigio in cui la banda di casa viene rivenduta a terzi.
A livello geografico, molte infezioni si concentrano in Vietnam, Brasile, India e Arabia Saudita, con milioni di indirizzi IP unici osservati settimanalmente. Sono emersi anche utilizzi dell’infrastruttura per attacchi di credential stuffing contro server IMAP e siti web popolari, segno che la botnet può essere sfruttata in campagne diverse.
Per ridurre il rischio, è fondamentale disabilitare ADB quando non necessario, impedire shell ADB non autenticate e limitare l’accesso a porte e reti interne. Dal lato dei provider proxy, una misura cruciale è bloccare le richieste verso gli indirizzi privati RFC 1918, evitando che software proxy possa essere usato come tunnel verso dispositivi della rete locale.