В начале 2026 года иссле­дова­тели Black Lotus Labs со­общи­ли о резуль­татах мно­гоме­сяч­ной опе­рации про­тив бот­нетов Aisuru и Kimwolf — одной из самых мас­штаб­ных и необыч­ных вре­донос­ных инфраструк­тур пос­ледних лет. Спе­циалис­там уда­лось вывес­ти из строя более 550 управля­ющих сер­веров и сущес­твен­но огра­ничить работу сети из нес­коль­ких мил­лионов заражен­ных Android-устрой­ств по все­му миру. В этой статье раз­берем, как шла борь­ба.

Aisuru и свя­зан­ный с ним Android-бот­нет Kimwolf спо­соб­ны прев­ращать заражен­ные устрой­ства в узлы для про­веде­ния DDoS-атак и резиден­тные прок­си. Детали работы этой схе­мы начали про­яснять­ся, ког­да в кон­це прош­лого года экспер­ты китай­ской ком­пании QiAnXin XLab опуб­ликова­ли де­таль­ный ана­лиз мал­вари Kimwolf, которая в основном заража­ет Android-прис­тавки и стри­мин­говые устрой­ства.

Вре­донос дос­тавля­ет на устрой­ства SDK ByteConnect — либо нап­рямую, либо через пре­дус­танов­ленные сом­нитель­ные при­ложе­ния. При этом во мно­гих слу­чаях гад­жеты ском­про­мети­рова­ны с помощью прок­си-SDK еще до момен­та покуп­ки.

В отче­те отме­чалось, что Kimwolf может быть свя­зан с бот­нетом Aisuru, который попал в заголов­ки СМИ бла­года­ря ре­кор­дным DDoS-ата­кам в кон­це прош­лого года.

Ана­лити­ки писали, что оба вре­доно­са явно соз­даны одной хакер­ской груп­пиров­кой. Дело в том, что с сен­тября по ноябрь 2025 года оба бот­нета рас­простра­нялись через оди­нако­вые скрип­ты зараже­ния и сосущес­тво­вали на одних устрой­ствах. Кро­ме того, APK-фай­лы вре­доно­сов, най­ден­ные в VirusTotal, были под­писаны одни­ми сер­тифика­тами (вклю­чая John Dinglebert Dinglenut VIII VanSack Smith), а 8 декаб­ря экспер­ты обна­ружи­ли активный сер­вер‑заг­рузчик (93.95.112(.)59), который раз­давал полез­ные наг­рузки обо­их бот­нетов сра­зу.

Тог­да была выд­винута теория, что опе­рато­ры Kimwolf на ран­них эта­пах исполь­зовали код Aisuru, взяв его за осно­ву, а затем раз­вили новый бот­нет как отдель­ный про­ект, что­бы эффектив­нее укло­нять­ся от обна­руже­ния. Так­же сооб­щалось, что некото­рые ата­ки, ранее при­писы­ваемые Aisuru, на самом деле мог­ли исхо­дить от Kimwolf и груп­пиров­ки работа­ли сов­мес­тно.

 

Прокси как вектор атаки

Схе­ма рас­простра­нения Kimwolf ока­залась изощ­ренной и необыч­ной. Как недав­но рас­ска­зали экспер­ты из ком­пании Synthient, в ней задей­ство­ваны легаль­ные резиден­тные прок­си‑сер­висы.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии