บอทเน็ต Kimwolf ซึ่งเป็นมัลแวร์ Aisuru เวอร์ชันแอนดรอยด์ ได้ขยายตัวจนมีเครื่องที่ติดมัลแวร์มากกว่า 2 ล้านเครื่องแล้ว โดยส่วนใหญ่ติดมัลแวร์จากการใช้ช่องโหว่ในเครือข่าย residential proxy เพื่อมุ่งเป้าโจมตีอุปกรณ์ต่าง ๆ ที่อยู่ในเครือข่าย
นักวิจัยสังเกตพบว่ามัลแวร์ดังกล่าวมีปริมาณเพิ่มสูงขึ้นตั้งแต่เดือนสิงหาคมปีที่แล้ว โดยในช่วงเดือนที่ผ่านมา Kimwolf ได้เพิ่มความเข้มข้นในการสแกนเครือข่ายพร็อกซี เพื่อค้นหาอุปกรณ์ที่เปิดบริการ Android Debug Bridge (ADB) ทิ้งไว้โดยไม่มีการป้องกัน
เป้าหมายที่พบบ่อยคือกล่องรับสัญญาณทีวีระบบแอนดรอยด์ และอุปกรณ์สตรีมมิ่งที่อนุญาตให้เข้าถึงผ่าน ADB ได้โดยไม่ต้องผ่านการยืนยันตัวตน โดยอุปกรณ์ที่ถูกแฮ็กส่วนใหญ่จะถูกนำไปใช้ในการโจมตีแบบ DDoS, นำไปขายต่อเป็นบริการพร็อกซี และสร้างรายได้จากการติดตั้งแอปผ่าน SDK ของ third-party เช่น Plainproxies Byteconnect
ปัจจุบัน บอทเน็ต Aisuru คือผู้อยู่เบื้องหลังการโจมตีแบบ DDoS ครั้งใหญ่ที่สุดเท่าที่มีการเปิดเผยต่อสาธารณะ โดยมีปริมาณการโจมตีสูงสุดถึง 29.7 เทราบิตต่อวินาที ตามที่ Cloudflare เปิดเผย
รายงานจาก XLab ระบุว่า บอทเน็ต Kimwolf บนระบบ Android มีอุปกรณ์ที่ถูกเจาะระบบมากกว่า 1.8 ล้านเครื่อง เมื่อวันที่ 4 ธันวาคม 2025
นักวิจัยจากบริษัท Synthient ซึ่งเป็นบริษัทด้านข่าวกรองภัยคุกคาม และความปลอดภัยทางไซเบอร์ และ anti-fraud ได้ติดตามกิจกรรมของ Kimwolf มาโดยตลอด โดยพวกเขาระบุว่าจำนวนอุปกรณ์ที่ถูกโจมตีเพิ่มขึ้นเกือบ 2 ล้านเครื่อง และมีการสร้าง IP Address ที่ไม่ซ้ำกันประมาณ 12 ล้านรายการต่อสัปดาห์
อุปกรณ์แอนดรอยด์ ที่ติดมัลแวร์ส่วนใหญ่อยู่ในประเทศเวียดนาม, บราซิล, อินเดีย และซาอุดีอาระเบีย ในหลายกรณี ระบบถูกแฮ็กผ่านพร็อกซี SDK มาตั้งแต่ก่อนซื้อ ซึ่งเคยมีรายงานมาแล้วในอดีต
การใช้ช่องโหว่ของเครือข่ายพร็อกซี
จากข้อมูลของ Synthient การเติบโตอย่างรวดเร็วของ Kimwolf ส่วนใหญ่เกิดจากการใช้เครือข่าย residential proxy เพื่อเข้าถึงอุปกรณ์แอนดรอยด์ที่มีความเสี่ยง โดยเฉพาะอย่างยิ่ง มัลแวร์นี้ใช้ประโยชน์จากผู้ให้บริการพร็อกซีที่อนุญาตให้เข้าถึง local network addresses และพอร์ตภายใน ทำให้สามารถโต้ตอบโดยตรงกับอุปกรณ์ที่ทำงานบนเครือข่ายภายในเดียวกันกับไคลเอ็นต์พร็อกซีได้
ตั้งแต่วันที่ 12 พฤศจิกายน 2025 เป็นต้นมา Synthient สังเกตพบกิจกรรมที่เพิ่มสูงขึ้นในการสแกนหาบริการ ADB ที่ไม่ได้มีการยืนยันตัวตน ซึ่งถูกเปิดทิ้งไว้ผ่านจุดเชื่อมต่อ Proxy Endpoints โดยพุ่งเป้าไปที่พอร์ตหมายเลข 5555, 5858, 12108 และ 3222
Android Debug Bridge (ADB) เป็นอินเทอร์เฟซสำหรับการพัฒนา และ debugging ที่ช่วยให้ติดตั้ง และถอนการติดตั้งแอป, เรียกใช้คำสั่งเชลล์, รับ-ส่งไฟล์ และตรวจสอบการทำงานของอุปกรณ์แอนดรอยด์ แต่เมื่อฟีเจอร์ ADB นี้ถูกเปิดทิ้งไว้ผ่านเครือข่าย มันอาจเปิดช่องให้มีการเชื่อมต่อจากระยะไกลโดยไม่ได้รับอนุญาต เพื่อเข้ามาแก้ไข หรือเข้าควบคุมอุปกรณ์แอนดรอยด์ได้
เมื่อสามารถเข้าถึงอุปกรณ์ได้แล้ว เพย์โหลดของบอทเน็ตจะถูกส่งผ่านคำสั่ง netcat หรือ telnet โดยส่งสคริปต์เชลล์ไปยังอุปกรณ์ที่เปิดเผยโดยตรงเพื่อเรียกใช้ในเครื่อง และเขียนลงในโฟลเดอร์ /data/local/tmp
Synthient ตรวจจับเพย์โหลดหลายรูปแบบตลอดเดือนธันวาคม แต่รูปแบบการส่งยังคงไม่เปลี่ยนแปลง
นักวิจัยพบอัตราความเสี่ยงสูงในกลุ่มตัวอย่าง residential proxy กลุ่มหนึ่ง ซึ่งตอกย้ำว่าอุปกรณ์ดังกล่าวสามารถถูกโจมตีได้ภายในไม่กี่นาทีหลังจากเข้าถึงเครือข่ายเหล่านี้
Synthient อธิบายว่า "จากการวิเคราะห์อุปกรณ์ที่เสี่ยงต่อการถูกโจมตีซึ่งเป็นส่วนหนึ่งของกลุ่มพร็อกซีของ IPIDEA พบว่า 67% ของอุปกรณ์แอนดรอยด์ทั้งหมดไม่ได้ทำการยืนยันตัวตน ทำให้เสี่ยงต่อการถูกเรียกใช้โค้ดจากระยะไกล"
นักวิจัยระบุว่า "จากการสแกน พบ IP ที่มีความเสี่ยงประมาณ 6 ล้านรายการ อุปกรณ์เหล่านี้มักถูกจัดส่งโดยมีการฝัง SDK ที่ติดมัลแวร์จากผู้ให้บริการพร็อกซี"
IPIDEA หนึ่งในผู้ให้บริการพร็อกซีที่ได้รับผลกระทบ และเป็นเป้าหมายหลักของ Kimwolf เนื่องจากอนุญาตให้เข้าถึงพอร์ตทั้งหมด ได้ตอบสนองต่อการแจ้งเตือนของ Synthient เมื่อวันที่ 28 ธันวาคม โดยการบล็อกการเข้าถึง local networks และพอร์ตจำนวนมาก
โดยรวมแล้ว นักวิจัยได้ส่งรายงานช่องโหว่เกือบสิบฉบับไปยังผู้ให้บริการพร็อกซีชั้นนำ ที่พบในกิจกรรมของ Kimwolf อย่างไรก็ตาม นักวิจัยไม่สามารถระบุผู้ให้บริการพร็อกซีทั้งหมดที่ตกเป็นเป้าหมายของมัลแวร์ได้อย่างมั่นใจนัก
การป้องกันบอตเน็ต Kimwolf
บริษัท Synthient ได้เผยแพร่เครื่องมือสแกนออนไลน์เพื่อช่วยผู้ใช้ตรวจสอบว่ามีอุปกรณ์ในเครือข่ายเข้าไปเป็นส่วนหนึ่งของบอตเน็ต Kimwolf หรือไม่
ในกรณีที่ผลการตรวจสอบเป็นว่ามีติดมัลแวร์ นักวิจัยแนะนำว่ากล่องทีวีที่ติดมัลแวร์ควรถูกล้างข้อมูลทั้งหมดหรือทำลายทิ้ง มิเช่นนั้นบอทเน็ตจะยังคงอยู่
คำแนะนำโดยทั่วไปคือให้หลีกเลี่ยงกล่องทีวีแอนดรอยด์ราคาถูกทั่วไป และเลือกใช้อุปกรณ์ที่ได้รับการรับรองจาก Google Play Protect จากผู้ผลิตที่มีชื่อเสียง เช่น Google Chromecast, NVIDIA Shield TV และ Xiaomi Mi TV Box
ที่มา : bleepingcomputer
You must be logged in to post a comment.