Uma campanha criminosa de grandes proporções está transformando dispositivos Android comuns em ferramentas de ataque sem que seus donos percebam. A botnet Kimwolf, variante da Aisuru DDoS Botnet, já infectou mais de 2 milhões de aparelhos desde agosto de 2025, segundo levantamento da empresa de inteligência antifraude Synthient.

Os principais alvos são smart TVs com Android e dispositivos de streaming de baixo custo, especialmente TV boxes genéricos. A força combinada desses equipamentos foi usada em ataques distribuídos de negação de serviço (DDoS) que atingiram um pico histórico de 29,7 terabits por segundo, de acordo com a Cloudflare.

Leia: Tenha mais de 50 IAs ao alcance de um clique com a Bee Fenati

Infecção que começa na fábrica

O que torna o caso especialmente grave é o fato de muitos aparelhos já chegarem infectados ao consumidor. Pesquisadores da Synthient adquiriram modelos populares, entre eles dispositivos identificados como HiDPTAndroid e TV boxes genéricos, e constataram que o código malicioso já estava ativo assim que os produtos foram retirados da embalagem.

Na prática, o usuário não precisa clicar em links suspeitos nem instalar aplicativos duvidosos. Basta conectar o aparelho à internet para que invasores obtenham acesso à rede doméstica em poucos minutos.

A distribuição geográfica da ameaça chama atenção. Brasil, Argentina, Vietnã e Arábia Saudita concentram os maiores números de infecções, com cerca de 67% dos dispositivos totalmente desprotegidos, sem firewall, antivírus ou qualquer camada adicional de segurança.

Proxies residenciais como vetor de ataque

O diferencial técnico da Kimwolf está no método de propagação. Os criminosos exploram redes de proxy residencial, serviços legítimos usados por empresas para acessar a internet por meio de conexões domésticas reais. Alguns desses provedores permitem acesso a portas locais e a dispositivos na mesma rede interna.

A botnet se aproveita dessa brecha para “tunelar” de volta pelos endpoints de proxy e alcançar equipamentos vulneráveis dentro das redes domésticas. O malware busca especificamente aparelhos com o Android Debug Bridge (ADB) exposto, uma ferramenta de desenvolvimento que muitos TV boxes baratos mantêm aberta e sem autenticação por padrão.

Segundo Benjamin Brundage, pesquisador da Synthient, os atacantes conseguem contornar restrições de domínio usando registros DNS que apontam para endereços locais, como 192.168.0.1 ou 0.0.0.0. Com isso, enviam requisições cuidadosamente elaboradas para o dispositivo alvo ou para outros equipamentos da rede interna.

Em dezembro, a Synthient identificou que operadores da Kimwolf estavam usando a rede do provedor chinês IPIDEA para tunelar e infectar dispositivos. Após ser alertada em 17 de dezembro, a IPIDEA implementou uma correção no dia 27, bloqueando o acesso a portas locais e a dispositivos sensíveis. Ainda assim, na semana de 30 de dezembro, a Synthient continuava rastreando cerca de 2 milhões de endereços IPIDEA explorados pela botnet.

Pesquisadores observaram a Kimwolf se reconstruir quase do zero até atingir novamente 2 milhões de dispositivos em apenas alguns dias, apenas reutilizando os endpoints de proxy da IPIDEA.

Negócio multimilionário

A investigação da Synthient revelou que os operadores da botnet obtiveram acesso às próprias ferramentas de monitoramento dos hackers, uma instância do Grafana, plataforma de código aberto para visualização de dados, confirmando que o crescimento da rede se acelerou fortemente nos últimos dois meses.

Os registros indicam cerca de 12 milhões de endereços IP únicos associados semanalmente à botnet, resultado de uma rotação intensa de conexões residenciais. A Kimwolf opera como um empreendimento estruturado, com três principais fontes de receita.

A primeira é o aluguel de banda larga: os criminosos vendem o acesso à internet das vítimas por cerca de US$ 0,20 por gigabyte. Isso permite que outros grupos usem conexões residenciais legítimas para ocultar fraudes, spam, tentativas de invasão de contas e raspagem massiva de conteúdo.

A segunda fonte de renda vem da instalação forçada de aplicativos. Por meio de uma ferramenta oculta chamada Byteconnect SDK, da Plainproxies, aplicativos são instalados silenciosamente nos dispositivos infectados, gerando comissões de programas de afiliados sem o conhecimento das vítimas.

A terceira é o DDoS-as-a-Service, no qual toda a botnet é alugada para derrubar sites. Com 2 milhões de dispositivos, a Kimwolf tem capacidade para tirar do ar até grandes plataformas. A infraestrutura de detecção da Synthient registrou ataques de credential stuffing contra servidores IMAP e sites populares.

Ataques DDoS em escala recorde

DDoS é a sigla para “Distributed Denial of Service” (Negação de Serviço Distribuída). Nesse tipo de ataque, milhões de dispositivos são controlados para enviar requisições simultâneas a um site ou serviço, sobrecarregando os servidores e tornando-os lentos ou indisponíveis.

O recorde de 29,7 terabits por segundo registrado pela Cloudflare equivale à transmissão simultânea de cerca de 7.400 filmes em 4K. Pesquisadores da XLab observaram que, entre 19 e 22 de novembro, a Kimwolf emitiu mais de 1,7 bilhão de comandos de ataque DDoS em apenas três dias.

Os impactos vão além do ambiente digital, causando perdas econômicas para e-commerces, interrupções em serviços bancários e até riscos a sistemas críticos, como os hospitalares. Em muitos casos, os ataques também são usados para extorsão, com exigência de pagamento para cessar a ofensiva.

Evasão avançada e domínios em blockchain

Além do tamanho, a Kimwolf se destaca pela sofisticação técnica. O malware utiliza criptografia Stack XOR para proteger dados sensíveis, adota DNS over TLS (DoT) para ocultar comunicações com servidores de comando e controle e valida ordens por meio de assinaturas digitais de curva elíptica.

Após repetidas derrubadas de domínios, os operadores passaram a usar domínios ENS (Ethereum Name Service), baseados em blockchain, para tornar a infraestrutura mais resiliente. Em determinado momento, o domínio de comando e controle da Kimwolf chegou a superar o Google no ranking global de popularidade da Cloudflare.

Na prática, isso indica que os 2 milhões de dispositivos infectados acessavam constantemente o endereço malicioso em busca de instruções, gerando mais tráfego do que o site mais visitado do mundo. A detecção continua difícil devido à camuflagem, à baixa visibilidade no VirusTotal e à rápida evolução do código.

Falha estrutural no mercado de proxies

A Synthient enviou, em 17 de dezembro, 11 alertas de vulnerabilidade aos principais provedores de proxy, todos afetados em diferentes níveis. Para a empresa, o problema vai além de falhas isoladas e aponta para uma vulnerabilidade sistêmica na cadeia de suprimentos de proxies residenciais.

“O crescimento sem precedentes da Kimwolf para mais de 2 milhões de dispositivos não é apenas uma falha de segurança individual dos aparelhos, mas uma vulnerabilidade sistêmica dentro da cadeia de suprimentos de proxies residenciais”, alertou a Synthient no relatório. “A operação Kimwolf fornece um blueprint para botnets futuras alcançarem crescimento rápido e de baixo custo, contornando defesas tradicionais.”

Os usuários afetados são vítimas duas vezes. Além de terem a privacidade violada e a conexão de internet degradada, participam involuntariamente de crimes cibernéticos. Com 2 milhões de dispositivos ativos e rotação semanal de 12 milhões de IPs, a Kimwolf consegue atingir alvos robustos e dificulta qualquer tentativa de bloqueio sem afetar usuários legítimos.

Medidas de proteção

A Synthient disponibilizou uma ferramenta online em synthient.com/check para verificar se algum dispositivo da rede faz parte da botnet Kimwolf. Em caso de infecção, os pesquisadores recomendam que TV boxes sejam “limpos ou destruídos”, já que a botnet persiste mesmo após resets simples.

Entre as orientações gerais estão evitar TV boxes genéricos de marcas desconhecidas e optar por dispositivos certificados pelo Google Play Protect, como Google Chromecast, NVIDIA Shield TV e Xiaomi Mi TV Box. Para organizações, a recomendação é auditar o tráfego de rede, bloquear conexões com servidores e domínios de comando e controle conhecidos, não usar TV boxes potencialmente vulneráveis em redes corporativas e verificar se endereços IP não estão operando software de proxy sem autorização.

(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)