DDoS-атаки, кража паролей и «умный» дом. Как дешевая ТВ-приставка превращает ваш интернет в инструмент хакеров
NewsMakerЗа красивой картинкой на телевизоре у некоторых приставок прячется готовый инструмент для атак и взломов.
Вы покупаете недорогую Android TV приставку с неизвестного бренда, подключаете к телевизору и забываете о ней на годы. А она тем временем может тихо превратить ваш домашний интернет в инструмент для кибератак и серых онлайн-сервисов. Именно так, по данным исследователей, разросся новый ботнет Kimwolf, который заразил больше двух миллионов устройств, массово взломав огромное количество неофициальных Android TV боксов.
В декабре 2025 года компания XLab опубликовала подробный разбор Kimwolf. По их данным, зараженные приставки используют как минимум в двух целях: для участия в DDoS-атаках и как узлы так называемых резидентных прокси. Это бизнес, который продает клиентам доступ к интернет-трафику, идущему как будто от реальных домашних устройств. Такой трафик охотно покупают для накрутки рекламы, перебора паролей, попыток захвата аккаунтов и массового сбора данных с сайтов.
Особенность Kimwolf в том, что он нацелен не на обычные смартфоны, а на саму инфраструктуру дешевых TV-приставок. В отчете говорится, что вредоносный компонент связан с прокси-ПО, которое на заводе предустановлено более чем на тысяче моделей «несанкционированных» Android TV устройств. После заражения их IP-адреса начинают прокачивать подозрительный трафик практически сразу, а владельцы приставок обычно ничего не замечают.
XLab также утверждает, что Kimwolf тесно связан с более ранним ботнетом Aisuru. Исследователи нашли «однозначные доказательства» того, что для обоих использовались одни и те же злоумышленники и инфраструктура. В частности, 8 декабря 2025 года они заметили, что оба варианта ботнета распространялись с одного и того же IP-адреса 93.95.112.59, что подтвердило их подозрения о едином авторе или группе.
Вы покупаете недорогую Android TV приставку с неизвестного бренда, подключаете к телевизору и забываете о ней на годы. А она тем временем может тихо превратить ваш домашний интернет в инструмент для кибератак и серых онлайн-сервисов. Именно так, по данным исследователей, разросся новый ботнет Kimwolf, который заразил больше двух миллионов устройств, массово взломав огромное количество неофициальных Android TV боксов.
В декабре 2025 года компания XLab опубликовала подробный разбор Kimwolf. По их данным, зараженные приставки используют как минимум в двух целях: для участия в DDoS-атаках и как узлы так называемых резидентных прокси. Это бизнес, который продает клиентам доступ к интернет-трафику, идущему как будто от реальных домашних устройств. Такой трафик охотно покупают для накрутки рекламы, перебора паролей, попыток захвата аккаунтов и массового сбора данных с сайтов.
Особенность Kimwolf в том, что он нацелен не на обычные смартфоны, а на саму инфраструктуру дешевых TV-приставок. В отчете говорится, что вредоносный компонент связан с прокси-ПО, которое на заводе предустановлено более чем на тысяче моделей «несанкционированных» Android TV устройств. После заражения их IP-адреса начинают прокачивать подозрительный трафик практически сразу, а владельцы приставок обычно ничего не замечают.
XLab также утверждает, что Kimwolf тесно связан с более ранним ботнетом Aisuru. Исследователи нашли «однозначные доказательства» того, что для обоих использовались одни и те же злоумышленники и инфраструктура. В частности, 8 декабря 2025 года они заметили, что оба варианта ботнета распространялись с одного и того же IP-адреса 93.95.112.59, что подтвердило их подозрения о едином авторе или группе.