){kind=small}
)
Uma operação criminosa massiva está transformando milhões de dispositivos Android em zumbis digitais sem que seus donos percebam. A botnet Kimwolf, variante da Aisuru DDoS Botnet, cresceu para mais de 2 milhões de dispositivos infectados desde agosto de 2025, segundo pesquisa da empresa de inteligência antifraude Synthient.
Os alvos principais são smart TVs com Android e aparelhos de streaming baratos, especialmente modelos genéricos de TV boxes. O poder combinado desses dispositivos já foi usado para lançar ataques distribuídos de negação de serviço (DDoS) que atingiram a marca recorde de 29,7 terabits por segundo, de acordo com a Cloudflare.
Nossos vídeos em destaque
Armadilha vem de fábrica
O que torna essa ameaça particularmente grave é que muitos dispositivos já chegam infectados ao consumidor. Pesquisadores da Synthient compraram vários modelos populares, incluindo aparelhos rotulados como HiDPTAndroid e unidades TV Box genéricas, e descobriram que o código malicioso já estava sendo executado assim que tiraram os produtos da caixa.
Isso significa que o usuário não precisa clicar em nada suspeito ou baixar aplicativos duvidosos. Assim que conecta o aparelho e acessa a internet, os hackers conseguem obter acesso à rede doméstica em questão de minutos.
A concentração geográfica é alarmante. Os países mais afetados são Brasil, Argentina, Vietnã e Arábia Saudita, com aproximadamente 67% dos dispositivos completamente desprotegidos, sem firewall, antivírus ou qualquer camada de segurança.
Método inédito de infecção por meio de proxies residenciais
A grande inovação e perigo da Kimwolf está no método de propagação. Os criminosos exploram redes de proxy residencial, serviços legítimos que permitem às empresas acessar a internet através de conexões domésticas reais. O problema é que alguns provedores de proxy permitem acesso a portas locais e dispositivos na mesma rede interna.
A Kimwolf usa essas redes para "tunelar" de volta através dos endpoints de proxy e alcançar dispositivos vulneráveis nas redes domésticas. O malware procura especificamente por aparelhos com o serviço Android Debug Bridge (ADB) exposto, uma ferramenta de desenvolvimento que muitos TV boxes baratos deixam aberta e sem autenticação por padrão.
Segundo Benjamin Brundage, pesquisador da Synthient, os atacantes conseguem contornar restrições de domínio usando registros DNS que apontam para endereços locais como 192.168.0.1 ou 0.0.0.0, permitindo enviar requisições cuidadosamente elaboradas para o dispositivo atual ou outros aparelhos na rede local.
Em dezembro, a Synthient identificou que os operadores da Kimwolf estavam usando especificamente a rede do provedor chinês IPIDEA para tunelar e infectar dispositivos. Quando alertada em 17 de dezembro, a IPIDEA implementou uma correção em 27 de dezembro bloqueando acesso a portas locais e dispositivos sensíveis. No entanto, na semana de 30 de dezembro, a Synthient ainda rastreava aproximadamente 2 milhões de endereços IPIDEA explorados pela Kimwolf.
O mais preocupante: pesquisadores testemunharam a Kimwolf se reconstruir de quase nada para 2 milhões de dispositivos infectados em apenas alguns dias, simplesmente tunelando através dos endpoints de proxy da IPIDEA.
Como os criminosos lucram com a Kimwolf
A investigação da Synthient revelou que os operadores da botnet conseguiram acesso às ferramentas de monitoramento dos hackers — uma instância Grafana, plataforma de código aberto para visualização e análise de dados — e confirmaram que o crescimento da rede disparou nos últimos dois meses.
Os dados mostram cerca de 12 milhões de endereços IP únicos associados à rede a cada semana, indicando uma rotação massiva de conexões domésticas.
Os criminosos transformaram a Kimwolf em um verdadeiro empreendimento com três fontes de receita: aluguel de banda larga, onde os hackers vendem o acesso à internet das vítimas por apenas US$ 0,20 por gigabyte. Isso permite que outros criminosos usem conexões residenciais reais para mascarar atividades ilícitas como fraudes, spam, tentativas de invasão de contas e raspagem massiva de conteúdo, tornando-os muito mais difíceis de rastrear.
A segunda fonte de renda é a instalação forçada de aplicativos, quando os cibercriminosos, usando uma ferramenta oculta chamada Byteconnect SDK (da Plainproxies), instalam secretamente aplicativos nos dispositivos infectados e ganham comissões de programas de afiliados sem que as vítimas saibam.
A terceira forma de ganhar dinheiro é o DDoS-as-a-Service, quando a botnet inteira é alugada para qualquer pessoa que queira derrubar sites importantes. Com 2 milhões de dispositivos à disposição, a Kimwolf tem poder de fogo suficiente para tirar do ar até mesmo grandes plataformas. A infraestrutura de detecção da Synthient registrou ataques de credential stuffing contra servidores IMAP e sites populares.
O que é um ataque DDoS
DDoS significa "Distributed Denial of Service" (Negação de Serviço Distribuída). Basicamente, o atacante controla milhões de dispositivos e ordena que todos enviem requisições simultaneamente para um site ou serviço. O servidor fica sobrecarregado tentando responder e acaba ficando lento ou completamente fora do ar para usuários legítimos.
O recorde de 29,7 terabits por segundo registrado pela Cloudflare equivale a transmitir aproximadamente 7.400 filmes em 4K ao mesmo tempo — um volume absurdamente maior do que a maioria dos sites consegue processar. Pesquisadores da XLab observaram que, entre 19 e 22 de novembro, a Kimwolf emitiu mais de 1,7 bilhão de comandos de ataque DDoS em apenas três dias.
Esse tipo de ataque causa prejuízos econômicos como perda de vendas para e-commerces — que acabam ficando fora do ar, bancos ficam inacessíveis e impedidos de realizar transações e até mesmo serviços críticos, como sistemas hospitalares, podem ser comprometidos. Além disso, criminosos frequentemente usam os ataques para extorsão, exigindo pagamento para parar.
Técnicas sofisticadas de evasão
A Kimwolf não é apenas grande, é também tecnicamente sofisticada. O malware usa criptografia Stack XOR para proteger dados sensíveis, implementa DNS over TLS (DoT) para ocultar comunicações com servidores de comando e controle, e autentica comandos C2 usando assinaturas digitais de curva elíptica.
Após múltiplas derrubadas de seus domínios de controle, os operadores adotaram domínios blockchain ENS (Ethereum Name Service) para tornar a infraestrutura mais resiliente. Em um momento, o domínio C2 da Kimwolf chegou a superar o Google no ranking global de popularidade de domínios da Cloudflare.
Na prática, isso significa que 2 milhões de dispositivos infectados estavam acessando constantemente esse endereço malicioso para receber comandos dos hackers, gerando mais tráfego do que o site mais visitado do mundo.
A detecção permanece difícil devido às técnicas de camuflagem, baixa visibilidade no VirusTotal e evolução rápida do código.
Vulnerabilidade sistêmica no ecossistema de proxies
Os pesquisadores da Synthient enviaram 11 alertas de vulnerabilidade em 17 de dezembro aos principais provedores de proxy, todos impactados em diferentes graus. A empresa avalia que o problema vai além de falhas individuais de segurança, trata-se de uma vulnerabilidade sistêmica na cadeia de suprimentos de proxies residenciais.
"O crescimento sem precedentes da Kimwolf para mais de 2 milhões de dispositivos não é apenas uma falha de segurança individual dos aparelhos, mas uma vulnerabilidade sistêmica dentro da cadeia de suprimentos de proxies residenciais", alertou a Synthient no relatório. “A operação Kimwolf fornece um blueprint para botnets futuras alcançarem crescimento rápido e de baixo custo, contornando defesas tradicionais.”
A empresa alerta que, enquanto a demanda por banda larga residencial de baixo custo continuar crescendo, o risco para organizações e indivíduos permanecerá alto.
A vítima dupla
O aspecto mais cruel dessa operação é que os donos dos dispositivos infectados são vítimas em dobro. Além de terem sua privacidade violada e sua internet desacelerada, estão participando involuntariamente de crimes cibernéticos sem saber.
Com 2 milhões de dispositivos ativos e rotação por 12 milhões de IPs semanalmente, a Kimwolf pode derrubar sites de grande porte que normalmente seriam resilientes, atacar múltiplos alvos simultaneamente e é praticamente impossível de impedir completamente, porque não dá para bloquear milhões de endereços residenciais sem afetar usuários legítimos.
Como se proteger
A Synthient disponibilizou uma ferramenta online em synthient.com/check onde usuários podem verificar se algum dispositivo em sua rede faz parte da botnet Kimwolf. Em caso positivo, os pesquisadores recomendam que TV boxes infectados sejam "limpos ou destruídos", pois a botnet persiste mesmo após resets simples.
As recomendações gerais incluem evitar TV boxes genéricos de marcas desconhecidas e optar por dispositivos certificados pelo Google Play Protect de fabricantes respeitáveis (Google Chromecast, NVIDIA Shield TV, Xiaomi Mi TV Box).
Organizações devem auditar o tráfego de rede e hardware para sinais de infecção, bloquear conexões para servidores e domínios C2 conhecidos, evitar colocar TV boxes potencialmente vulneráveis em redes corporativas e verificar endereços IP para garantir que não estão executando software de proxy sem conhecimento.
Para mais dicas de segurança, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
