Android botneti Kimwolf i Aisuru ostali bez komandnih servera

Vesti, 16.01.2026, 11:30 AM

Istraživači iz Black Lotus Labs, odeljenja za analizu pretnji kompanije Lumen Technologies, uspeli su da ugase veliki deo infrastrukture botneta Kimwolf i Aisuru, prekinuvši komunikaciju sa više od 550 komandno-kontrolnih (C2) servera koji su korišćeni za upravljanje zaraženim uređajima. Operacija je započeta početkom oktobra 2025. godine.

Kimwolf i Aisuru su veliki botneti — mreže kompromitovanih uređaja koje napadači mogu daljinski kontrolisati. Korišćeni su za DDoS napade, ali i za preusmeravanje internet saobraćaja kroz zaražene uređaje, pretvarajući ih u rezidencijalne proxy čvorove.

Kimwolf je prvenstveno ciljao Android uređaje, naročito nesertifikovane Android TV box uređaje i opremu za strimovanje. Malver se širio putem komponente poznate kao ByteConnect, koja je bila instalirana direktno ili dolazila unapred uključena u aplikacije na određenim uređajima.

Istraživači procenjuju da je kompromitovano više od dva miliona Android uređaja. Širenje je u velikoj meri omogućeno zbog neobezbeđenog Android Debug Bridge (ADB) servisa, koji je na mnogim uređajima bio izložen internetu. To je napadačima omogućavalo da daljinski instaliraju malver bez ikakve interakcije korisnika.

Analiza je pokazala da su operateri Kimwolf botneta pokušali da unovče mrežu prodajom pristupa internet konekcijama zaraženih uređaja.

Deo infrastrukture botneta Aisuru praćen je do rezidencijalnih SSH konekcija sa kanadskih IP adresa, koje su korišćene za pristup dodatnim serverima preko proxy mreža, čime je zlonamerna aktivnost bila prikrivena kao uobičajen kućni internet saobraćaj.

Istraživači upozoravaju da zloupotreba svakodnevnih potrošačkih uređaja i dalje predstavlja snažan oslonac za napadače, obezbeđujući im stabilnu i teško uočljivu infrastrukturu koja značajno otežava otkrivanje i suzbijanje napada na globalnom nivou.