サイバーニュース.jp

世界のサイバーなニュースを配信

Kimwolf Androidボットネット、住宅プロキシを悪用し内部デバイスを感染拡大

カテゴリ:

はじめに

セキュリティ研究者らは、Kimwolfと呼ばれる新しいAndroidボットネットが急速に拡大しており、現在200万台以上のデバイスに感染していると報告しています。このボットネットは、主に住宅用プロキシネットワークの脆弱性を悪用し、内部ネットワーク上のデバイスを標的としています。

Kimwolfは、以前から知られているAisuruマルウェアのAndroid亜種であり、昨年8月以降、その活動が著しく増加しています。感染したデバイスは、主に分散型サービス拒否(DDoS)攻撃、プロキシ転売、そしてPlainproxies ByteconnectのようなサードパーティSDKを介したアプリインストールの収益化に利用されています。

Kimwolfボットネットの脅威と拡大

Kimwolfボットネットは、特に過去1ヶ月間で活動を活発化させており、住宅用プロキシネットワークのスキャンを強化し、露出したAndroid Debug Bridge(ADB)サービスを持つデバイスを探索しています。標的となるのは、多くの場合、無認証アクセスが可能なAndroidベースのTVボックスやストリーミングデバイスです。

脅威インテリジェンス企業Synthientの報告によると、Kimwolfに感染したデバイス数は12月4日時点で180万台を超え、その後も増加し、現在は約200万台に達しています。これにより、毎週約1200万の一意のIPアドレスが生成されているとのことです。感染デバイスの多くは、ベトナム、ブラジル、インド、サウジアラビアに集中しています。

感染経路と手口

Kimwolfの急速な拡大は、住宅用プロキシネットワークの悪用に大きく起因しています。このマルウェアは、ローカルネットワークアドレスやポートへのアクセスを許可するプロキシプロバイダーの隙を突き、プロキシクライアントと同じ内部ネットワークで実行されているデバイスと直接やり取りします。

Synthientは、2025年11月12日以降、ポート5555、5858、12108、3222を介して露出した無認証ADBサービスを標的としたスキャン活動の増加を観測しました。Android Debug Bridge(ADB)は、アプリのインストールや削除、シェルコマンドの実行、ファイルの転送、Androidデバイスのデバッグを可能にする開発およびデバッグインターフェースです。これがネットワーク上に露出している場合、不正なリモート接続によってAndroidデバイスが改変されたり、制御されたりする可能性があります。

ボットネットのペイロードは、netcatまたはtelnetを介して、シェルスクリプトを直接デバイスの/data/local/tmpにパイプして実行する形で配信されます。

攻撃の目的と影響

Kimwolfボットネットは、以下の目的で利用されています:

  • 分散型サービス拒否(DDoS)攻撃:ネットワークリソースを飽和させることを目的とした攻撃。Aisuruボットネットは、Cloudflareが測定した過去最大のDDoS攻撃(ピーク時29.7テラビット/秒)に関与した実績があります。
  • プロキシ転売:感染デバイスのIPアドレスを不正に販売し、他のサイバー犯罪活動に利用させる。
  • アプリインストール収益化:Plainproxies ByteconnectのようなサードパーティSDKを介して、不正なアプリをインストールさせ、収益を得る。

研究者たちは、ある住宅用プロキシプールでは、Androidデバイスの67%が無認証のまま放置されており、リモートコード実行に対して脆弱であることを発見しました。これにより、約600万の脆弱なIPアドレスが存在すると推定されています。

プロキシプロバイダーへの影響と対策

IPIDEAは、すべてのポートへのアクセスを許可していたため、Kimwolfの主要な標的の一つとなりました。SynthientはIPIDEAに対し警告を行い、これを受けてIPIDEAは12月28日にローカルネットワークおよび広範囲のポートへのアクセスをブロックする措置を取りました。研究者たちは、Kimwolfの活動が観測された「トッププロキシプロバイダー」に約10件の脆弱性レポートを送付しています。

Kimwolfからの防御策

Synthientは、ユーザーが自身のネットワークデバイスがKimwolfボットネットの一部であるかどうかを識別するためのオンラインスキャナーツールを公開しています。陽性反応が出た場合、研究者は感染したTVボックスを「完全に消去または破壊する」ことを推奨しています。さもなければ、ボットネットが永続する可能性があるためです。

一般的な推奨事項としては、安価な汎用Android TVボックスを避け、Google Chromecast、NVIDIA Shield TV、Xiaomi Mi TV Boxなど、信頼できるOEMによる「Google Play Protect認定」デバイスを選択することが挙げられます。

元記事: https://www.bleepingcomputer.com/news/security/kimwolf-android-botnet-abuses-residential-proxies-to-infect-internal-devices/

投稿をさらに読み込む