Brasil é o principal alvo de vírus que vem pré-instalado em TV Box Android

A empresa de cibersegurança Synthient descobriu, no final do ano passado, a botnet Kimwolf, que infecta dispositivos Android principalmente por redes proxy residenciais e já comprometeu mais de 2 milhões de dispositivos do tipo. Ela é ligada à botnet Aisuru, que já invadiu mais de 1,8 milhões de aparelhos e executou mais de 1,7 bilhões de comandos de ataque DDoS, de acordo com a XLab.

• O que é uma botnet?
• Você faz parte de uma botnet? Descubra com esta ferramenta gratuita

Em outubro, a equipe da Synthient teve acesso a uma amostra de domínio C2 da botnet, a partir da qual foi possível ver um crescimento vertiginoso: o domínio ficou acima da Google nos rankings globais da Cloudflare, e, por usar a biblioteca wolfSSL, foi nomeada Kimwolf.

Invasões da Kimwolf e seu funcionamento

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

A botnet em questão mira, principalmente, em aparelhos de TV box, sendo compilada em NDK e equipada com funções de DDoS, encaminhamento de proxy, reverse shell e gerenciamento de arquivos. Os dados sensíveis são encriptados com um Stack XOR, usando DNS sobre TLS para escapar suas comunicações e autenticação dos comandos C2 com assinaturas digitais de curva elíptica.

Versões mais recentes usam, inclusive, EtherHiding para resistir a esforços de desmantelamento através de domínios de blockchain. A partir do domínio analisado, os pesquisadores observaram cerca de 2,7 milhões de IPs interagindo ao longo de três dias, mostrando uma escala de infecção que passa de 1,8 milhões de dispositivos, com infraestrutura global.

Nos últimos dois meses, a botnet cresceu exponencialmente ao explorar redes residenciais, com muitas infecções ligadas à IPIDEA, baseada na China: muitos dispositivos TV box clandestinos já foram vendidos pré-infectados, conectando-se à internet e entrando na rede de bots Kimwolf em questão de minutos. A maior parte das infecções foi vista no Brasil, Índia, Arábia Saudita e Vietnã.

Os cibercriminosos da Kimwolf ainda monetizam as infecções ao vender a instalação de SDKs como ByteConnect nos aparelhos e revender banda larga, além de permitir preenchimento de credenciais em massa. A Synthient sugere que provedores de proxy bloqueiem portas arriscadas e pede que usuários chequem e apaguem ou destruam dispositivos infectados.

Leia ainda no Canaltech:

• VPNs e aplicativos de segurança bombam na Venezuela após ações dos EUA
• NordVPN nega vazamento e diz que hacker roubou "dados fictícios"
• Extensões roubam informações sigilosas de reuniões corporativas no Zoom e Meet

VÍDEO | Confira os detalhes do Samsung Music Studio na CES! 🎧 #ctnaces @Samsung Brasil

Fonte: XLab, Synthient