Ваша цифровая фоторамка подрабатывает на хакеров. Но лично вас в долю она едва ли возьмёт

Более двух миллионов заражённых устройств по всему миру — такую оценку масштабов нового ботнета под названием Kimwolf опубликовала компания Synthient. Среди стран с наибольшим числом заражений — Вьетнам, Бразилия, Индия, Саудовская Аравия, Россия и США.

Основными целями атак оказались телевизионные приставки на базе Android и цифровые фоторамки, многие из которых продаются на крупных торговых площадках под малоизвестными брендами. Распространение вредоносного ПО связано с уязвимостями в популярных сетях резидентных прокси, в частности — IPIDEA.

Масштаб угрозы определяют не только темпы заражения, но и способ, с помощью которого вредонос проникает в домашние сети. Kimwolf использует прокси-сети, превращая устройства в точку входа во внутреннюю инфраструктуру пользователя.

Вредоносный код нередко предустановлен производителем, либо проникает на устройства в момент установки сторонних приложений, предлагаемых как способ обхода подписок на видеоконтент. После активации вредонос превращает устройство в прокси-узел, который сдаётся в аренду злоумышленникам. Через него атакующие получают доступ ко всем другим устройствам в сети, в том числе к тем, что кажутся изолированными от внешнего мира.

Дополнительным уязвимым звеном стали микрокомпьютеры без встроенной защиты, использующиеся в массовом производстве недорогих Android-устройств. Многие из них поставляются с включённым режимом отладки ADB, что позволяет получить удалённый доступ к системным функциям без какой-либо авторизации. Исследования подтвердили, что достаточно одного устройства с активным ADB и заражённого телефона в той же сети, чтобы вредонос проник ко всем остальным уязвимым узлам — от фоторамки до медиаплеера.

Особое внимание специалисты Synthient уделили связям между Kimwolf и крупнейшей прокси-сетью IPIDEA. По данным компании, ботнет использует инфраструктуру IPIDEA для распространения, восстанавливая свою численность до двух миллионов заражённых устройств всего за несколько дней после каждой попытки устранения. В ответ на уведомления о проблемах, IPIDEA заявила об устранении уязвимостей, в том числе закрытии тестового модуля, позволявшего обойти фильтрацию и проникать в локальные сети.

Наибольшую активность Kimwolf демонстрировал в октябре и декабре 2025 года, заражая сотни тысяч устройств по всему миру. Исследования китайской компании XLab подтвердили присутствие ботнета в более чем 2,7 миллиона IP-адресов, хотя реальное количество заражённых устройств оценить затруднительно из-за динамической смены адресов и различий в часовом поясе.

Kimwolf служит площадкой для размещения вредоносных приложений, продажи пропускной способности и проведения DDoS-атак. Его архитектура позволяет легко маскировать трафик, проходящий через заражённые устройства, и направлять его на внутренние IP-адреса, нарушая базовые принципы сетевой изоляции. Такие атаки могут приводить не только к заражению новых устройств, но и к захвату управления маршрутизаторами и изменению DNS-настроек, что делает возможным полное перенаправление трафика пользователя.

Ситуация усугубляется тем, что многие пользователи приобретают устройства, не подозревая об их потенциальной опасности. Китайские медиаплееры и цифровые фоторамки продаются как способ доступа к бесплатному контенту, однако в реальности становятся частью глобальных вредоносных сетей. Даже если устройство можно перепрошить, для большинства покупателей это не является очевидной задачей.

Компания Google ранее инициировала судебный процесс против операторов сети BadBox 2.0, которая также использовала заражённые Android-устройства для мошенничества и распространения вредоносного ПО. ФБР предупреждало о массовых заражениях устройств ещё в середине 2025 года. Общая проблема в том, что компрометация происходит ещё до того, как устройство оказывается у пользователя — либо в момент первичной настройки.

Среди потенциальных мер защиты — использование гостевых Wi-Fi-сетей, покупка устройств только от проверенных производителей и полный отказ от установки приложений из неофициальных источников. Однако на фоне роста числа заражённых устройств и совершенствования методов скрытого доступа к внутренним сетям даже эти шаги не гарантируют полной защиты.

Synthient уже опубликовала список моделей устройств, чаще всего попадающих под контроль Kimwolf. В компании подчёркивают, что самым надёжным решением остаётся физическое удаление подозрительных устройств из сети. И это не просто рекомендация: в условиях текущих угроз это минимально необходимая мера.