Купили ТВ-приставку ради бесплатных фильмов? Значит ваш телевизор теперь работает на хакеров

Киберпреступники, управляющие ботнетом Kimwolf, похоже, решили похвастаться действительно крупной добычей. В сети появился скриншот, на котором видно, что они получили доступ к панели управления Badbox 2.0, одного из крупнейших ботнетов в мире, связанного с миллионами зараженных Android TV-приставок китайского производства. По данным ФБР и Google, за Badbox 2.0 уже давно ведется охота, а теперь, благодаря утечке, становится понятнее, кто может стоять за этой инфраструктурой.

Kimwolf уже заразил более 2 млн устройств и известен агрессивными методами распространения. В основном это нелегальные Android TV-боксы, которые продаются как «приставки с бесплатным доступом к фильмам и сериалам» за разовый платеж. Вредоносное ПО либо устанавливается еще до продажи устройства, либо попадает на него во время первоначальной настройки через поддельные приложения и сторонние магазины.

Ранее исследователи уже называли администраторов Kimwolf по никам Dort и Snow. Теперь бывший соратник этих людей передал журналистам скриншот, якобы сделанный из панели управления Badbox 2.0. На изображении видны 7 авторизованных аккаунтов, и один из них, с именем ABCD, по данным источника, принадлежит именно Dort. Предполагается, что он смог добавить свой email как легитимного пользователя системы управления ботнетом.

Badbox имеет долгую историю. Еще в 2023 году был выявлен первый ботнет под этим названием, а в 2024 году его инфраструктуру частично удалось нарушить. Однако в 2025 году появилась новая версия, Badbox 2.0, которая, по оценкам Google, включала более 10 млн несертифицированных Android-устройств и использовалась для рекламного мошенничества и заражения домашних сетей. ФБР тогда предупреждало, что такие устройства могут давать злоумышленникам прямой доступ к локальным сетям пользователей.

Анализ email-адресов из утекшего скриншота привел исследователей к нескольким китайским IT-компаниям и конкретным людям, связанным с разработкой мобильных приложений и инфраструктурой доменов, ранее фигурировавших в отчетах по Badbox 2.0. В частности, имена Чэнь Дайхай и Чжу Чжию оказались связаны с регистрацией доменов, компаний и адресов, которые уже упоминались в расследованиях, посвященных этому ботнету.

Главная опасность ситуации в другом. Kimwolf распространяется через уязвимые IoT-устройства внутри домашних сетей, используя резидентные прокси-сервисы. После того как многие прокси-провайдеры закрыли эту лазейку, скорость распространения Kimwolf начала снижаться. Но если у администраторов Kimwolf действительно есть несанкционированный доступ к панели управления Badbox 2.0, они получают прямой канал установки вредоносного ПО на миллионы приставок Android TV, уже входящих в этот ботнет.

По словам источника, именно это и было «тайным козырем» операторов Kimwolf: возможность напрямую загружать вредоносное ПО на приставки Badbox 2.0, минуя прокси-инфраструктуру. Как именно был получен доступ к панели управления, пока неизвестно. При этом исследователи уже уведомили всех владельцев аккаунтов, указанных на скриншоте, так что доступ Dort может быть закрыт в ближайшее время.

Если информация подтвердится, это будет означать редкий случай пересечения двух крупных ботнет-экосистем и серьезную эскалацию угрозы для домашних сетей пользователей по всему миру, особенно тех, кто использует дешевые неофициальные приставки Android TV.