Televizoarele smart, transformate în arme digitale: 1,8 milioane de dispozitive Android, controlate de hackeri pentru atacuri pe internet

Un nou episod alarmant din războiul invizibil al securității cibernetice a fost documentat recent de cercetătorii în securitate informatică: un botnet denumit Kimwolf a reușit să infecteze aproximativ 1,8 milioane de dispozitive Android, în special televizoare smart, set-top box-uri și tablete. Rețeaua este deja responsabilă pentru atacuri de tip DDoS la scară uriașă, demonstrând încă o dată cât de vulnerabil a devenit ecosistemul dispozitivelor conectate la internet.

Fenomenul nu este unul izolat, ci se înscrie într-o tendință îngrijorătoare în care televizoarele inteligente și alte echipamente IoT devin arme digitale, fără știrea utilizatorilor. Kimwolf se remarcă atât prin dimensiune, cât și prin sofisticarea tehnică, fiind considerat unul dintre cele mai agresive botnet-uri descoperite în ultimii ani.

Ce este Kimwolf și cum a ajuns să infecteze milioane de dispozitive

Potrivit unei investigații realizate de QiAnXin XLab, Kimwolf este un botnet construit folosind Android NDK, ceea ce îi permite să ruleze eficient pe o gamă largă de dispozitive bazate pe Android. Țintele principale sunt televizoarele smart și TV box-urile utilizate în rețelele rezidențiale, multe dintre ele cu software slab securizat sau neverificat.

Printre modelele afectate se regăsesc denumiri generice precum TV BOX, SuperBOX, X96Q, MX10 sau chiar dispozitive identificate ca SmartTV, ceea ce sugerează că infecția nu este limitată la un singur producător. Cele mai multe dispozitive compromise au fost identificate în Brazilia, India, Statele Unite, Argentina, Africa de Sud și Filipine, dar distribuția este una globală.

Obiectul colorat care a apărut pe mormântul Rodicăi Stănoiu, după ce a fost înmormântată a doua oară. A fost lăsat de o persoană dragă

Horoscopul chinezesc pentru weekendul 20–21 decembrie 2025. Se anunţă schimbări importante la final de an

Mecanismul exact prin care malware-ul ajunge pe aceste dispozitive nu este încă pe deplin clar. Specialiștii suspectează fie instalarea unor aplicații modificate, fie exploatarea unor vulnerabilități existente în firmware-ul televizoarelor. Odată infectat, dispozitivul rulează în fundal un proces care se asigură că nu există mai multe instanțe active și stabilește o conexiune criptată cu serverele de comandă și control ale atacatorilor.

Atacuri DDoS la scară fără precedent și legătura cu un alt botnet celebru

Dimensiunea reală a botnet-ului Kimwolf a devenit evidentă atunci când cercetătorii au constatat că, într-un interval de doar trei zile, între 19 și 22 noiembrie 2025, rețeaua a emis aproximativ 1,7 miliarde de comenzi pentru atacuri DDoS. În aceeași perioadă, unul dintre domeniile sale de comandă a ajuns temporar în topul celor mai accesate 100 de domenii monitorizate de Cloudflare, depășind pentru scurt timp chiar și Google, un semnal extrem de grav pentru stabilitatea infrastructurii internetului.

Investigațiile au mai scos la iveală o conexiune directă între Kimwolf și un alt botnet notoriu, AISURU, cunoscut pentru unele dintre cele mai mari atacuri DDoS din ultimul an. Analiza codului arată că atacatorii au reutilizat componente din AISURU în primele versiuni Kimwolf, ulterior dezvoltând un botnet separat, probabil pentru a evita detectarea și blocarea rapidă.

Dovezi suplimentare indică faptul că cele două botnet-uri au coexistat pe aceleași dispozitive, fiind propagate prin aceleași scripturi de infectare. Inclusiv certificatele de semnare ale aplicațiilor malware sunt identice în anumite cazuri, ceea ce întărește ipoteza că ambele rețele aparțin aceluiași grup de atacatori.

Tehnici avansate de ascundere și monetizare a dispozitivelor compromise

Kimwolf nu este doar un instrument de atac, ci și o platformă complexă de exploatare financiară. Analiza comenzilor arată că peste 96% dintre acestea nu sunt legate direct de atacuri DDoS, ci de folosirea dispozitivelor infectate ca proxy-uri. Practic, atacatorii vând lățimea de bandă a televizoarelor compromise, transformându-le în noduri pentru redirecționarea traficului anonim.

Pentru a-și proteja infrastructura, operatorii Kimwolf au adoptat rapid tehnici avansate. După ce mai multe domenii de comandă au fost dezactivate în luna decembrie, botnet-ul a trecut la folosirea Ethereum Name Service, o metodă cunoscută sub numele de EtherHiding. Astfel, adresa reală a serverului de control este ascunsă într-un smart contract pe blockchain, făcând extrem de dificilă blocarea sa de către autorități sau companii de securitate.

În plus, comunicațiile sunt criptate folosind TLS, iar malware-ul suportă 13 tipuri diferite de atacuri DDoS prin protocoale UDP, TCP și ICMP. Țintele identificate până acum includ infrastructuri din Statele Unite, China, Franța, Germania și Canada, semn că impactul este unul global.

Cazul Kimwolf confirmă o schimbare majoră în peisajul amenințărilor cibernetice. Dacă în urmă cu un deceniu routerele și camerele IP erau principalele ținte, astăzi televizoarele smart și TV box-urile au devenit noile verigi slabe. Pe măsură ce aceste dispozitive sunt tot mai prezente în locuințe și tot mai rar actualizate, ele reprezintă o resursă extrem de atractivă pentru rețelele de criminalitate cibernetică, cu consecințe directe asupra stabilității internetului la nivel mondial.