Le botnet Kimwolf, une variante Android du malware Aisuru, compte plus de deux millions d’hôtes, la plupart infectés en exploitant les vulnérabilités des réseaux proxy résidentiels pour cibler les appareils sur les réseaux internes.
Les chercheurs ont observé une activité accrue pour le malware depuis août dernier. Au cours du dernier mois, Kimwolf a intensifié son analyse des réseaux proxy, à la recherche d’appareils avec des services de pont de débogage Android (ADB) exposés.
Les cibles courantes sont les boîtiers TV basés sur Android et les appareils de streaming qui permettent un accès non authentifié via ADB. Les appareils compromis sont principalement utilisés dans les attaques par déni de service distribué (DDoS), la revente de proxy et la monétisation des installations d’applications via des SDK tiers tels que Plainproxies Byteconnect.
Le botnet Aisuru est actuellement responsable de la plus grande attaque DDoS divulguée publiquement, qui a culminé à 29,7 térabits par seconde mesurée par Cloudflare.
Un rapport de XLab note que le botnet Android Kimwolf comptait plus de 1,8 million d’appareils compromis le 4 décembre.
Des chercheurs de la société de renseignement sur les menaces et de cybersécurité antifraude Synthient ont suivi l’activité de Kimwolf. Ils disent que le nombre d’appareils compromis a grimpé à près de deux millions et produit environ 12 millions d’adresses IP uniques chaque semaine.
La plupart des appareils Android infectés se trouvent au Vietnam, au Brésil, en Inde et en Arabie saoudite. Dans de nombreux cas, les systèmes ont été compromis par des SDK proxy avant l’achat, ce qui a été signalé dans le passé.
Abuser des procurations résidentielles
Selon Synthient, la croissance rapide de Kimwolf est en grande partie due à son abus des réseaux proxy résidentiels pour atteindre les appareils Android vulnérables. Plus précisément, le logiciel malveillant tire parti des fournisseurs de proxy qui autorisent l’accès aux adresses et ports du réseau local, permettant une interaction directe avec les appareils fonctionnant sur le même réseau interne que le client proxy.
À partir du 12 novembre 2025, Synthient a observé une analyse d’activité élevée pour les services ADB non authentifiés exposés via des points de terminaison proxy, ciblant les ports 5555, 5858, 12108 et 3222.
Le pont de débogage Android (ADB) est une interface de développement et de débogage qui permet d’installer et de supprimer des applications, d’exécuter des commandes shell, de transférer des fichiers et de déboguer des appareils Android. Lorsqu’il est exposé sur un réseau, ADB peut autoriser des connexions à distance non autorisées à modifier ou à prendre le contrôle des appareils Android.
Lorsqu’elles étaient accessibles, les charges utiles du botnet étaient livrées via netcat ou telnet, acheminant les scripts shell directement dans le périphérique exposé pour une exécution locale, écrites dans /data/local/tmp.
Synthient a capturé plusieurs variantes de charge utile tout au long du mois de décembre, mais les méthodes de livraison sont restées inchangées.
Les chercheurs ont constaté des taux d’exposition élevés dans un échantillon de pool proxy résidentiel, soulignant que de tels dispositifs peuvent être exploités quelques minutes après avoir rejoint ces réseaux.
« Après avoir analysé les appareils exposés faisant partie du pool de proxy IPIDEAs, nous avons constaté que 67% de tous les appareils Android ne sont pas authentifiés, ce qui les rend vulnérables à l’exécution de code à distance », explique Synthient.
« D’après nos analyses, nous avons trouvé environ 6 millions d’adresses IP vulnérables [These] Ces appareils sont souvent expédiés pré-infectés avec des SDK de fournisseurs de proxy », expliquent les chercheurs.
IPIDEA, l’un des fournisseurs de proxy concernés et l’une des principales cibles de Kimwolf car il permettait l’accès à tous les ports, a répondu à l’alerte de Synthient le 28 décembre en bloquant l’accès aux réseaux locaux et à un large éventail de ports.
Au total, les chercheurs ont envoyé près d’une douzaine de rapports de vulnérabilité « aux principaux fournisseurs de proxy » observés dans l’activité de Kimwolf. Cependant, les chercheurs ne peuvent pas déterminer avec certitude tous les fournisseurs de proxy ciblés par le logiciel malveillant.
Protection contre Kimwolf
Synthient a publié un outil d’analyse en ligne pour aider les utilisateurs à identifier si l’un de leurs périphériques réseau fait partie du botnet Kimwolf.
En cas de résultat positif, les chercheurs suggèrent que les téléviseurs infectés soient « effacés ou détruits », sinon le botnet persistera.
La recommandation générale est d’éviter les boîtiers Android TV génériques à faible coût et de préférer les appareils certifiés « Google Play Protect » d’équipementiers réputés, tels que Chromecast de Google, NVIDIA Shield TV et Xiaomi Mi TV Box.