Uma operação criminosa em larga escala está sequestrando silenciosamente dispositivos Android ao redor do mundo. A botnet Kimwolf, variante da Aisuru DDoS Botnet, já comprometeu mais de 2 milhões de aparelhos desde agosto de 2025, segundo pesquisa da empresa de inteligência antifraude Synthient.
Os principais alvos são smart TVs com Android e dispositivos de streaming de baixo custo, especialmente TV boxes genéricos. O poder somado desses equipamentos já foi usado em ataques de negação de serviço distribuída (DDoS) que alcançaram o recorde de 29,7 Tbps, de acordo com a Cloudflare — um volume capaz de derrubar até grandes plataformas globais.
Infecção que já vem de fábrica
O fator mais preocupante da Kimwolf é a forma como ela se espalha. Muitos dispositivos já chegam infectados ao consumidor. Pesquisadores da Synthient compraram modelos populares, como aparelhos rotulados como HiDPTAndroid e TV boxes genéricos, e encontraram o malware ativo logo ao tirar os produtos da caixa.
Na prática, o usuário não precisa clicar em links suspeitos ou instalar apps maliciosos. Basta ligar o aparelho e conectá-lo à internet para que os invasores obtenham acesso à rede doméstica em poucos minutos. A concentração geográfica chama atenção: Brasil, Argentina, Vietnã e Arábia Saudita lideram a lista, com cerca de 67% dos dispositivos sem qualquer proteção, como firewall ou antivírus.
Proxies residenciais como vetor de ataque
A Kimwolf se destaca pelo método de propagação. Os criminosos exploram redes de proxy residencial, serviços legítimos usados por empresas para acessar a internet a partir de conexões domésticas reais. O problema é que alguns provedores permitem acesso a portas locais e dispositivos da rede interna.
Com isso, a botnet “tunela” conexões pelos endpoints de proxy e alcança dispositivos vulneráveis dentro das casas. O malware busca especialmente aparelhos com o Android Debug Bridge (ADB) exposto — uma ferramenta de desenvolvimento que muitos TV boxes baratos deixam aberta e sem autenticação por padrão.
Segundo Benjamin Brundage, pesquisador da Synthient, os atacantes ainda contornam restrições usando registros DNS que apontam para endereços locais, como 192.168.0.1 ou 0.0.0.0, permitindo enviar comandos ao próprio dispositivo ou a outros equipamentos da rede.
Em dezembro, a Synthient identificou o uso da infraestrutura do provedor chinês IPIDEA para esse tunelamento. Após notificação, a empresa bloqueou o acesso a portas locais, mas mesmo assim cerca de 2 milhões de endereços IP ainda estavam sendo explorados na semana seguinte. O mais alarmante: a Kimwolf conseguiu se reconstruir do zero para milhões de dispositivos em poucos dias.
Como a botnet gera dinheiro
A investigação revelou acesso às ferramentas internas dos operadores, incluindo uma instância do Grafana, confirmando a escalada acelerada da rede. Os dados apontam 12 milhões de endereços IP únicos por semana, indicando rotação massiva de conexões residenciais.
A Kimwolf opera como um negócio com três frentes de monetização:
- Aluguel de banda larga: venda do acesso à internet das vítimas por cerca de US$ 0,20 por GB, permitindo que outros criminosos escondam fraudes, spam, invasões e raspagem de dados atrás de IPs residenciais.
- Instalação forçada de aplicativos: uso de uma ferramenta oculta (Byteconnect SDK) para instalar apps sem consentimento e lucrar com programas de afiliados.
- DDoS-as-a-Service: aluguel da botnet para derrubar sites sob demanda. Com milhões de dispositivos, o “poder de fogo” é brutal.
A infraestrutura da Synthient registrou ainda ataques de credential stuffing contra servidores IMAP e sites populares.
O que é um ataque DDoS e por que ele importa
Um ataque DDoS ocorre quando milhões de dispositivos enviam requisições simultâneas a um serviço, sobrecarregando-o até a queda. O pico de 29,7 Tbps equivale a transmitir milhares de filmes em 4K ao mesmo tempo. Entre 19 e 22 de novembro, pesquisadores observaram a emissão de 1,7 bilhão de comandos DDoS em apenas três dias.
Os impactos vão de perda de vendas em e-commerces a indisponibilidade de bancos e serviços críticos, incluindo sistemas hospitalares. Em muitos casos, os ataques são usados para extorsão.
Técnicas avançadas de evasão
A Kimwolf não é só grande, é sofisticada. O malware usa criptografia Stack XOR, DNS over TLS (DoT) para ocultar comunicações e assinaturas digitais de curva elíptica para autenticar comandos. Após derrubadas frequentes de domínios, os operadores migraram para domínios ENS (Ethereum Name Service), tornando a infraestrutura mais resiliente.
Em um momento, o domínio de comando e controle da Kimwolf chegou a superar o Google no ranking global da Cloudflare, impulsionado pelo tráfego constante de milhões de dispositivos infectados.
Um problema sistêmico no ecossistema de proxies
A Synthient enviou 11 alertas de vulnerabilidade a grandes provedores de proxy e avalia que o caso expõe uma falha sistêmica na cadeia de suprimentos de proxies residenciais. Enquanto a demanda por banda larga residencial barata continuar crescendo, o risco permanece elevado.
Vítimas em dobro
Os donos dos dispositivos infectados sofrem duas vezes: têm a privacidade violada e a conexão degradada, além de participarem involuntariamente de crimes cibernéticos. Com milhões de IPs residenciais em rotação, bloquear a botnet sem afetar usuários legítimos é extremamente difícil.
Como se proteger
A Synthient disponibilizou uma ferramenta em synthient.com/check para verificar se há dispositivos infectados na rede. Em caso positivo, a recomendação é limpar profundamente ou descartar o aparelho, já que a infecção pode persistir após resets simples.
Boas práticas incluem evitar TV boxes genéricos, optar por dispositivos certificados pelo Google Play Protect e fabricantes reconhecidos, auditar o tráfego de rede, bloquear conexões a servidores de comando conhecidos e nunca conectar esses aparelhos a redes corporativas.
No cenário atual, TV box barato pode sair caro.
