Kimwolf-botnet treft 2 miljoen Android-apparaten

In dit artikel:

Het Kimwolf-botnet heeft zich sinds begin augustus 2025 razendsnel uitgebreid en infecteerde volgens securitybedrijf Synthient inmiddels meer dan 2 miljoen Android-apparaten. De malware richt zich vooral op toestellen met een onbeveiligde Android Debug Bridge (ADB) en onderscheidt zich doordat de verspreiding grotendeels via residential proxy‑netwerken plaatsvindt. Die proxy’s worden misbruikt om verkeer te routeren en apparaten in te zetten voor grootschalige DDoS-aanvallen; Cloudflare registreerde aanvallen met pieken tot 29,7 Tbps (14,1 Bpps).

Kimwolf is de Android-variant van het Aisuru-botnet. De exploitatie van proxynetwerken maakt snelle schaalvergroting mogelijk en levert de beheerders inkomsten via geforceerde app-installaties, verkoop van residential‑proxybandbreedte en DDoS‑diensten. Synthient zag op 12 november een toename in verkeer naar het domein xd[.]resi[.]to via het IPIDEA-proxynetwerk; dat domein verwijst naar 0.0.0.0, wat duidt op apparaten met een ingebedde proxy‑SDK.

Aanbevelingen: proxyproviders moeten risicovolle poorten blokkeren en lokale netwerktoegang beperken; organisaties dienen verbindingen naar bekende C2‑servers en verdachte domeinen te blokkeren. Eindgebruikers kunnen via synthient.com/check nagaan of hun apparaat is getroffen; geïnfecteerde TV‑boxen moeten worden gewist of verwijderd. Synthient waarschuwt dat andere dreigingsactoren waarschijnlijk dit patroon zullen kopiëren vanwege de ruime toegang die proxynetwerken bieden.