В ходе недавнего исследования была раскрыта схема, по которой функционирует Android-ботнет Kimwolf. Хакеры приобретают резидентские прокси в больших объемах и сканируют внутренние сети устройств, на которых они установлены. По информации, полученной в конце 2025 года, на данный момент насчитывается около 2 миллионов зараженных устройств. Учитывая ротацию IP-адресов, хакеры получают 12 миллионов уникальных IP каждую неделю, что делает Kimwolf одной из крупнейших ботнет-сетей на сегодняшний день.
Внутри ботнета хакеры ищут хосты с открытыми портами Android Debug Bridge (ADB) и часто находят уязвимые устройства, включая Android-приставки и стриминговые устройства, которые допускают подключение без авторизации. Главная цель Kimwolf — проведение распределенных атак отказа в обслуживании (DDoS). В период с 3 по 5 декабря было зафиксировано около 3 миллионов уникальных IP-адресов, взаимодействовавших с сервером управления ботнетом, что подтверждает его масштаб. Кроме DDoS-атак, Kimwolf также поддерживает прокси-перенаправление трафика, удаленный доступ к рабочему столу (RDP) и управление файлами на зараженных устройствах, что превращает их в инструменты для выполнения различных незаконных действий.
