Специалисты по информационной безопасности из компании Synthient поделились информацией относительно распространения ботнета Kimwolf. В состав этого ботнета к настоящему времени вошли более 2 млн телевизионных приставок и телевизоров под управлением операционной системы Android. Отличительной чертой ботнета является применение резидентских прокси. Это даёт возможность скрывать вредоносную деятельность под видом законного пользовательского трафика, что усложняет обнаружение опасности.
Ботнет создан с целью проведения DDoS-атак, чтобы сдавать в аренду резидентский прокси-трафик и продавать установку мобильных приложений. Судя по размеру инфраструктуры, платить за подобные виды услуг готовы многие и немало. Kimwolf описали в конце 2025 года представители компании QiAnXin XLab. Они же указали на наличие связи с другим ботнетом под названием AISURU. Речь идёт о версии ботнета для Android, который мог принять участие в нескольких рекордных по масштабам DDoS-атаках в конце 2025 года. Попавшие в ботнет устройства используются в качестве транзитных узлов для прохождения вредоносного трафика, расширяя масштаб атак.
Больше всего пострадавших устройств в этом ботнете из Вьетнама, Саудовской Аравии, Бразилии и Индии. Еженедельно ботнет применяет примерно 12 млн уникальных IP-адресов.
Главным способом заражения устройства является Android Debug Bridge без идентификации. Этим способом заразили более двух третей устройств. В рамках атаки используют инфраструктуру резидентских прокси и напрямую устанавливают вредоносное программное обеспечение. Под ударом оказались неофициальные телевизионные приставки и умные телевизоры, особенно если на них установлено сомнительное программное обеспечение сторонних разработчиков и комплекты средств разработки непонятного происхождения.