Kimwolf-Botnetz kompromittiert über zwei Millionen Android-Geräte weltweit : Offene ADB-Schnittstellen und Proxy-Netze machen Android-Systeme massenhaft angreifbar
Ein neu entdecktes Android-Botnetz zeigt, wie gefährlich falsch konfigurierte Geräte und kommerzielle Proxy-Dienste werden können. Kimwolf hat über zwei Millionen Systeme infiziert – zum einen, um deren Bandbreite weiterzuverkaufen, zum anderen, um sie mit DDoS-Funktionalität zu Geld zu machen. Sicherheitsexperten sprechen von einer bislang beispiellosen Dimension.
Das Botnetz Kimwolf steht für eine neue Qualität industriell betriebener Android-Malware. Nach Erkenntnissen von Synthient infizierten Angreifer weltweit mehr als zwei Millionen Android-Geräte, indem sie offene Android-Debug-Bridge-Schnittstellen ausnutzten und den Schadcode über private Proxy-Netze einschleusten. Ziel ist eine aggressive Monetarisierung der kompromittierten Infrastruktur.
Von AISURU zu Kimwolf: Ein bekanntes Muster in neuer Größenordnung
Erstmals öffentlich dokumentiert wurde Kimwolf durch QiAnXin XLab. Die Analysten ordnen das Botnetz als Android-Variante des bereits bekannten AISURU-Netzwerks ein. Aktiv ist Kimwolf nach aktuellen Einschätzungen seit mindestens August 2025. Zunehmend verdichten sich Hinweise, dass das Botnetz hinter mehreren rekordverdächtigen DDoS-Angriffen zum Jahresende 2025 stand.
Die Schadsoftware verwandelt infizierte Geräte in Relaisstationen für bösartigen Datenverkehr. Gleichzeitig dienen sie als Knotenpunkte für verteilte Denial-of-Service-Angriffe in großem Maßstab. Besonders stark betroffen sind Vietnam, Brasilien, Indien und Saudi-Arabien. Synthient beobachtete dabei rund 12 Millionen eindeutige IP-Adressen pro Woche.
Offenes ADB als Einfallstor
Der primäre Infektionsweg sind Android-Geräte mit ungeschütztem Android Debug Bridge-Dienst (ADB). Über eine Scan-Infrastruktur, die auf private Proxy-Netze setzt, wird die Malware direkt installiert. Laut Analyse sind 67 Prozent der an das Botnet angebundenen Geräte nicht authentifiziert und haben ADB standardmäßig aktiviert.
Es wird vermutet, dass diese Geräte bereits mit Software Development Kits (SDKs) von Proxy-Anbietern vorinfiziert sind, um sie heimlich in das Botnetz einzubinden. Zu den am stärksten gefährdeten Geräten zählen inoffizielle Android-basierte Smart-TVs und Set-Top-Boxen.
Kommerzielle Proxy-Dienste als Beschleuniger
Noch im Dezember 2025 nutzte Kimwolf angemietete Proxy-IP-Adressen des chinesischen Anbieters IPIDEA. Das Unternehmen reagierte am 27. Dezember mit einem Sicherheitsupdate, das den Zugriff auf lokale Netzwerke und sensible Ports blockiert. IPIDEA beschreibt sich selbst als „weltweit führenden Anbieter“ von IP Proxy mit mehr als 6,1 Millionen täglich aktualisierten IP-Adressen und 69.000 neuen IP-Adressen pro Tag.
Mit anderen Worten: Die Vorgehensweise besteht darin, das Proxy-Netzwerk von IPIDEA und andere Proxy-Anbieter zu nutzen und dann durch die lokalen Netzwerke der Systeme, auf denen die Proxy-Software läuft, zu tunneln, um die Malware abzulegen. Die Hauptnutzlast lauscht auf Port 40860 und verbindet sich mit 85.234.91[.]247:1337, um weitere Befehle zu empfangen. Synthient betont: „Das Ausmaß dieser Schwachstelle war beispiellos und setzte Millionen von Geräten Angriffen aus.“
Bandbreite als Ware
Zusätzlich infiziert Kimwolf die Geräte mit dem Monetarisierungsdienst Plainproxies Byteconnect SDK. Dieser nutzt 119 Relay-Server, die Proxy-Aufträge von einem zentralen Steuerungsserver erhalten und über die kompromittierten Geräte ausführen. Parallel dazu entdeckte Synthient Infrastruktur für Credential-Stuffing-Angriffe gegen IMAP-Server und populäre Online-Dienste.
Die wirtschaftliche Motivation ist klar. „Kimwolfs Monetarisierungsstrategie zeigte sich früh durch den aggressiven Verkauf von Residential Proxies“, so Synthient. Angeboten wurden Preise von 0,20 Dollar pro Gigabyte oder rund 1.400 Dollar monatlich für unbegrenzte Bandbreite. Ein weiteres Zitat fasst die Entwicklung zusammen: „Die Entdeckung vorinfizierter TV-Boxen und die Monetarisierung über sekundäre Software Development Kits wie Byteconnect deuten auf eine immer engere Verbindung zwischen Bedrohungsakteuren und kommerziellen Proxy-Anbietern hin.“
Gegenmaßnahmen dringend erforderlich
Zur Risikominimierung empfehlen Sicherheitsexperten, dass Proxy-Anbieter Zugriffe auf RFC-1918-Adressbereiche (die für die Verwendung in privaten Netzwerken definiert sind) konsequent blockieren. Unternehmen und Betreiber sollten zudem alle Geräte absichern, auf denen unauthentifizierte ADB-Shells aktiv sind. Kimwolf zeigt eindrücklich, wie schnell aus Bequemlichkeit und fehlender Härtung eine globale Angriffsplattform entstehen kann.