Новый вирус заразил более 2 млн Android-устройств

Аналитики зафиксировали стремительный рост ботнета Kimwolf, который, по оценке компании Synthient, уже охватил более 2 млн Android-устройств. Ключевая особенность сети - использование резидентских прокси, позволяющее маскировать вредоносную активность под легитимный пользовательский трафик и затруднять обнаружение, сообщает Anti-Malware.

Ботнет используется для продажи установок мобильных приложений, сдачи в аренду резидентского прокси-трафика, а также проведения DDoS-атак по заказу. Масштабы инфраструктуры указывают на устойчивый коммерческий спрос на подобные услуги.

Впервые Kimwolf был публично описан в конце 2025 года специалистами QiAnXin XLab, которые указали на его связь с ботнетом AISURU. Текущие данные подтверждают, что Kimwolf представляет собой Android-версию этой сети и, вероятно, был задействован в серии рекордных DDoS-атак, зафиксированных в конце прошлого года. Зараженные устройства используются как транзитные узлы для вредоносного трафика и позволяют проводить атаки в промышленных масштабах.

Наибольшее число заражений зафиксировано во Вьетнаме, Бразилии, Индии и Саудовской Аравии. По данным Synthient, ботнет еженедельно оперирует около 12 млн уникальных IP-адресов.

Основным вектором проникновения остается Android Debug Bridge (ADB), оставленный открытым без аутентификации: более 67% зараженных устройств имели незащищенный ADB-доступ. Атаки осуществляются через инфраструктуру резидентских прокси, после чего вредоносное ПО устанавливается напрямую. В группе повышенного риска - неофициальные ТВ-приставки и смарт-телевизоры, которые часто поставляются с сомнительными SDK или предустановленным сторонним ПО.

Эксперты называют ситуацию беспрецедентной по масштабу и подчеркивают риски, связанные с предустановленным вредоносным ПО и сближением киберпреступных групп с легальными провайдерами прокси-услуг.