Botnet Kimwolf su Android: 2 milioni di dispositivi presi via ADB esposto, DDoS e banda domestica rivenduta

News
Visite: 300

La botnet Kimwolf sta colpendo in modo massiccio il mondo Android, con oltre 2 milioni di dispositivi compromessi e trasformati in nodi utili a traffico malevolo e attacchi DDoS su larga scala. Il punto chiave di questa minaccia è il metodo di infezione: i criminali informatici sfruttano dispositivi con Android Debug Bridge (ADB) esposto e non autenticato, spesso raggiungibile in rete senza protezioni. Questa condizione è particolarmente comune in prodotti economici e non ufficiali come smart TV Android e set top box, che finiscono per diventare bersagli ideali.

Il malware viene distribuito tramite una infrastruttura di scansione che usa reti di proxy residenziali. In pratica, gli attaccanti si appoggiano a indirizzi IP reali di utenti e dispositivi domestici per effettuare installazioni e movimenti laterali, rendendo più difficile il tracciamento. Una quota rilevante dei dispositivi coinvolti risulta con ADB attivo di default e senza autenticazione, un dettaglio che abbassa drasticamente la soglia tecnica necessaria per prendere il controllo remoto.

Kimwolf non è solo una botnet per DDoS. La monetizzazione è un elemento centrale: gli operatori possono guadagnare tramite installazioni di app, vendita di banda residenziale e offerta di servizi DDoS. In parallelo, è stata osservata l’integrazione con SDK di monetizzazione della banda come Byteconnect, usati per trasformare i dispositivi infetti in proxy operativi che ricevono compiti da server di relay e li eseguono localmente. Questo modello alimenta un mercato grigio in cui la banda di casa viene rivenduta a terzi.

A livello geografico, molte infezioni si concentrano in Vietnam, Brasile, India e Arabia Saudita, con milioni di indirizzi IP unici osservati settimanalmente. Sono emersi anche utilizzi dell’infrastruttura per attacchi di credential stuffing contro server IMAP e siti web popolari, segno che la botnet può essere sfruttata in campagne diverse.

Per ridurre il rischio, è fondamentale disabilitare ADB quando non necessario, impedire shell ADB non autenticate e limitare l’accesso a porte e reti interne. Dal lato dei provider proxy, una misura cruciale è bloccare le richieste verso gli indirizzi privati RFC 1918, evitando che software proxy possa essere usato come tunnel verso dispositivi della rete locale.

Pin It
, , , , ,

Cyber Security UP

CybersecurityUP is a BU of Fata Informatica.
Since 1994, we have been providing IT security services to large civil and military organizations.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Specialized Training
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Monday-Friday
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contact us

Do you need our cybersecurity services?

Privacy policy

We invite you to read our
privacy policy for the protection of your personal data.
Disclaimer
Some of the photos on Cybersecurityup.it may have been taken from the Internet and therefore considered to be in the public domain. If the subjects or authors have any objections to their publication, they can report this by email to the editorial staff, who will promptly remove the images used.
© 2026 Fata Informatica. All rights reserved.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta