Более 2 миллионов устройств заражены новым вредоносным ПО Kimwolf, которое использует уязвимости в умных устройствах для проникновения в локальные сети.
Эксперты по кибербезопасности предупреждают о стремительном росте нового ботнета под названием Kimwolf, который уже заразил более двух миллионов устройств по всему миру. Основная опасность Kimwolf заключается в его способности проникать не только в облачные сервисы, но и в домашние локальные сети, используя для этого уязвимые «умные» устройства.
Kimwolf заставляет зараженные системы участвовать в мошеннических схемах, таких как рекламное мошенничество, попытки захвата учетных записей и массовый сбор данных. Кроме того, ботнет может использоваться для проведения масштабных DDoS-атак, способных вывести из строя веб-сайты.
Главная особенность Kimwolf — метод распространения. Вредоносное ПО использует так называемые «резидентные прокси» сети. Эти сети позволяют клиентам маршрутизировать свой трафик через устройства конечных пользователей, маскируя его под легитимный трафик из определенного региона. Часто программы, превращающие устройства в прокси-узлы, распространяются вместе с подозрительными мобильными приложениями и играми.
Особую тревогу вызывает тот факт, что значительная часть зараженных Kimwolf устройств — это Android TV-приставки, продаваемые на популярных онлайн-площадках. Многие из этих устройств либо поставляются с предустановленным вредоносным ПО, либо требуют установки неофициальных приложений, которые могут содержать вирусы. Эти приставки часто рекламируются как способ бесплатного просмотра платного контента.
Аналогичные проблемы существуют и с некоторыми моделями цифровых фоторамок с подключением к Интернету. Исследования показали, что многие из них имеют серьезные уязвимости безопасности, а некоторые поставляются с вредоносным ПО, превращающим их в прокси-узлы. Проблема усугубляется тем, что многие из этих устройств работают на базе микрокомпьютерных плат без встроенных механизмов безопасности или аутентификации.
Эксперты обнаружили, что Kimwolf эксплуатирует уязвимость, позволяющую обходить ограничения безопасности в сетях резидентных прокси. Злоумышленники могут отправлять вредоносные запросы непосредственно на устройства внутри локальной сети, используя специальные DNS-записи. Это дает им возможность доставлять вредоносное ПО на другие устройства в той же сети.
Дополнительным фактором риска является то, что многие неофициальные Android TV-приставки поставляются с включенным по умолчанию режимом Android Debug Bridge (ADB). Этот режим предназначен для диагностики и тестирования, но при включении позволяет удаленно управлять устройством и устанавливать прошивку без аутентификации. Это открывает прямой доступ к устройству и сети, к которой оно подключено.
Пользователям рекомендуется проявлять осторожность при покупке и использовании недорогих «умных» устройств, особенно если они приобретаются у непроверенных продавцов. Важно проверять настройки безопасности устройств и избегать установки приложений из неизвестных источников.
