Una nueva y masiva red de dispositivos infectados ha sido expuesta. Utilizando cajas de TV Android baratas y servicios de proxy residenciales, “Kimwolf” ha construido un ejército digital capaz de lanzar ataques DDoS récord.
El Internet de las Cosas (IoT) vuelve a demostrar su fragilidad. Investigadores han revelado la existencia de Kimwolf, una botnet que ha crecido explosivamente en los últimos meses hasta infectar a más de 2 millones de dispositivos en todo el mundo.
A diferencia de otras botnets que atacan servidores, Kimwolf se alimenta de dispositivos de consumo: principalmente cajas de Android TV de bajo costo (como las populares “TV Box” genéricas) que carecen de certificaciones de seguridad de Google Play Protect.
El Mecanismo: Infección vía Proxy
Lo más innovador y peligroso de Kimwolf es cómo se propaga. No solo busca dispositivos vulnerables en la red pública, sino que abusa de redes de “proxies residenciales” legítimas.
- El Vector: Los atacantes alquilan ancho de banda en redes de proxy comercial (como IPIDEA).
- El Túnel: Utilizan estos proxies para enviar tráfico malicioso “desde adentro” de la red del usuario, alcanzando dispositivos que están detrás del router y firewall doméstico.
- La Falla: El malware busca dispositivos con el puerto ADB (Android Debug Bridge) abierto y sin autenticación (puerto 5555), una configuración común en dispositivos Android baratos para desarrollo o mantenimiento remoto.
- La Infección: Una vez conectado, instala el malware que convierte al dispositivo en un “zombi” al servicio de la botnet.
Impacto: DDoS y Venta de Ancho de Banda
Los operadores de Kimwolf monetizan su ejército de dos formas principales:
- Alquiler de Proxies: Venden el ancho de banda de tu dispositivo a terceros por precios tan bajos como $0.20 USD por GB. Esto significa que ciberdelincuentes pueden usar tu conexión de internet para cometer fraudes, y la actividad parecerá venir de tu casa.
- Ataques DDoS Récord: Se sospecha que Kimwolf (o su variante relacionada “Aisuru”) está detrás de ataques de denegación de servicio recientes que alcanzaron picos monstruosos de 29.7 Terabits por segundo (Tbps).
Dispositivos Afectados y Distribución
La mayoría de las infecciones se concentran en Vietnam, Brasil, India, Arabia Saudita y Estados Unidos. Los dispositivos más vulnerables son las cajas de streaming genéricas que vienen pre-rooteadas o con configuraciones de seguridad desactivadas de fábrica.
Recomendaciones
- Verificación de ADB: Entra en los ajustes de desarrollador y asegúrate de que la depuración USB/ADB esté desactivada si no la estás usando.
- Reinicio de Fábrica: Si notas que tu internet está lento o tu dispositivo se calienta sin uso, realiza un restablecimiento de fábrica inmediatamente.
- Aislamiento: Conecta estos dispositivos a una red de invitados (Guest Wi-Fi) en tu router, para que si son infectados, no puedan atacar a tu computadora o teléfono principal.
