Ключевая особенность сети — использование резидентских прокси, позволяющее маскировать вредоносную активность под легитимный пользовательский трафик и затруднять обнаружение, сообщает Anti-Malware.
Ботнет используется для продажи установок мобильных приложений, сдачи в аренду резидентского прокси-трафика, а также проведения DDoS-атак по заказу. Масштабы инфраструктуры указывают на устойчивый коммерческий спрос на подобные услуги.
Впервые Kimwolf был публично описан в конце 2025 года специалистами QiAnXin XLab, которые указали на его связь с ботнетом AISURU. Текущие данные подтверждают, что Kimwolf представляет собой Android-версию этой сети и, вероятно, был задействован в серии рекордных DDoS-атак, зафиксированных в конце прошлого года. Зараженные устройства используются как транзитные узлы для вредоносного трафика и позволяют проводить атаки в промышленных масштабах.
Наибольшее число заражений зафиксировано во Вьетнаме, Бразилии, Индии и Саудовской Аравии. По данным Synthient, ботнет еженедельно оперирует около 12 млн уникальных IP-адресов.
Основным вектором проникновения остается Android Debug Bridge (ADB), оставленный открытым без аутентификации: более 67% зараженных устройств имели незащищенный ADB-доступ. Атаки осуществляются через инфраструктуру резидентских прокси, после чего вредоносное ПО устанавливается напрямую. В группе повышенного риска — неофициальные ТВ-приставки и смарт-телевизоры, которые часто поставляются с сомнительными SDK или предустановленным сторонним ПО.
Эксперты называют ситуацию беспрецедентной по масштабу и подчеркивают риски, связанные с предустановленным вредоносным ПО и сближением киберпреступных групп с легальными провайдерами прокси-услуг.