Uma nova e perigosa botnet, chamada Kimwolf, está infectando milhões de dispositivos em todo o mundo, explorando vulnerabilidades em redes proxy residenciais e dispositivos Android TV não oficiais. O artigo detalha como a Kimwolf se propaga e o que você pode fazer para se proteger.
MundiX News·22 de maio de 2026·15 min de leitura·👁 3 views
A história que você está lendo é uma série de revelações aninhadas em um alerta de segurança de Internet muito mais urgente. A vulnerabilidade em questão está sendo explorada há meses e é hora de uma conscientização mais ampla sobre a ameaça. A versão curta é que tudo o que você pensava saber sobre a segurança da rede interna por trás do seu roteador de Internet provavelmente está perigosamente desatualizado.
A empresa de segurança Synthient atualmente observa mais de 2 milhões de dispositivos Kimwolf infectados distribuídos globalmente, mas com concentrações no Vietnã, Brasil, Índia, Arábia Saudita, Rússia e Estados Unidos. A Synthient descobriu que dois terços das infecções por Kimwolf são caixas de TV Android sem segurança ou autenticação integradas.
Os últimos meses testemunharam o crescimento explosivo de uma nova botnet apelidada de Kimwolf, que, segundo especialistas, infectou mais de 2 milhões de dispositivos globalmente. O malware Kimwolf força sistemas comprometidos a retransmitir tráfego de Internet malicioso e abusivo - como fraude de anúncios, tentativas de apropriação de contas e raspagem de conteúdo em massa - e participar de ataques distribuídos de negação de serviço (DDoS) incapacitantes, capazes de derrubar quase qualquer site por dias a fio.
Mais importante do que o tamanho impressionante de Kimwolf, no entanto, é o método diabólico que ela usa para se espalhar tão rapidamente: efetivamente, fazendo túnel de volta por meio de várias redes de “proxy residencial” e nas redes locais dos endpoints proxy, e infectando ainda mais dispositivos que estão escondidos atrás da suposta proteção do firewall e do roteador de Internet do usuário.
Redes de proxy residencial são vendidas como uma forma de os clientes anonimizarem e localizarem seu tráfego da Web em uma região específica, e os maiores desses serviços permitem que os clientes encaminhem seu tráfego por meio de dispositivos em praticamente qualquer país ou cidade ao redor do mundo.
O malware que transforma a conexão de Internet de um usuário final em um nó proxy é frequentemente agrupado com aplicativos e jogos móveis suspeitos. Esses programas de proxy residencial também são comumente instalados por meio de caixas de TV Android não oficiais vendidas por comerciantes terceirizados em sites de comércio eletrônico populares como Amazon, BestBuy, Newegg e Walmart.
Essas caixas de TV variam em preço de US$ 40 a US$ 400, são comercializadas sob uma gama vertiginosa de marcas e números de modelos sem nome e frequentemente são anunciadas como uma forma de transmitir certos tipos de conteúdo de vídeo por assinatura gratuitamente. Mas há um custo oculto nessa transação: como exploraremos em um momento, essas caixas de TV representam uma parte considerável dos estimados dois milhões de sistemas atualmente infectados com Kimwolf.
Kimwolf também é muito bom em infectar uma variedade de molduras digitais de fotos conectadas à Internet, que também são abundantes em grandes sites de comércio eletrônico. Em novembro de 2025, pesquisadores da Quokka publicaram um relatório (PDF) detalhando sérios problemas de segurança em molduras de fotos digitais baseadas em Android executando o aplicativo Uhale - incluindo a moldura digital mais vendida da Amazon em março de 2025.
Há dois grandes problemas de segurança com essas molduras de fotos e caixas de TV Android não oficiais. O primeiro é que uma porcentagem considerável delas vem com malware pré-instalado ou exige que o usuário baixe uma loja de aplicativos Android não oficial e malware para usar o dispositivo para sua finalidade declarada (pirataria de conteúdo de vídeo). Os mais típicos desses convidados não convidados são pequenos programas que transformam o dispositivo em um nó proxy residencial que é revendido a outros.
O segundo grande pesadelo de segurança com essas molduras de fotos e caixas de TV Android não oficiais é que elas dependem de um punhado de placas de microcomputador conectadas à Internet que não possuem requisitos de segurança ou autenticação discerníveis integrados. Em outras palavras, se você estiver na mesma rede que um ou mais desses dispositivos, provavelmente poderá comprometê-los simultaneamente emitindo um único comando pela rede.
NÃO HÁ LUGAR COMO 127.0.0.1
A combinação dessas duas realidades de segurança veio à tona em outubro de 2025, quando um estudante de graduação em ciência da computação do Rochester Institute of Technology começou a rastrear de perto o crescimento de Kimwolf e a interagir diretamente com seus criadores aparentes diariamente.
Benjamin Brundage é o fundador, de 22 anos, da empresa de segurança Synthient, uma startup que ajuda empresas a detectar redes proxy e aprender como essas redes estão sendo abusadas. Conduzindo grande parte de sua pesquisa sobre Kimwolf enquanto estudava para os exames finais, Brundage disse a KrebsOnSecurity no final de outubro de 2025 que suspeitava que Kimwolf fosse uma nova variante baseada em Android de Aisuru, uma botnet que foi incorretamente culpada por vários ataques DDoS recordes no outono passado.
Brundage diz que Kimwolf cresceu rapidamente abusando de uma vulnerabilidade gritante em muitos dos maiores serviços de proxy residencial do mundo. O cerne da fraqueza, explicou ele, era que esses serviços de proxy não estavam fazendo o suficiente para impedir que seus clientes encaminhassem solicitações para servidores internos dos endpoints proxy individuais.
A maioria dos serviços de proxy toma medidas básicas para impedir que seus clientes pagantes “subam” para a rede local dos endpoints proxy, negando explicitamente solicitações de endereços locais especificados em RFC-1918, incluindo os conhecidos intervalos de Tradução de Endereço de Rede (NAT) 10.0.0.0/8, 192.168.0.0/16 e 172.16.0.0/12. Esses intervalos permitem que vários dispositivos em uma rede privada acessem a Internet usando um único endereço IP público, e se você executar qualquer tipo de rede doméstica ou de escritório, seu espaço de endereço interno opera dentro de um ou mais desses intervalos NAT.
No entanto, Brundage descobriu que as pessoas que operam Kimwolf haviam descoberto como falar diretamente com dispositivos nas redes internas de milhões de endpoints proxy residenciais, simplesmente alterando suas configurações do Sistema de Nomes de Domínio (DNS) para corresponder às dos intervalos de endereços RFC-1918.
“É possível contornar as restrições de domínio existentes usando registros DNS que apontam para 192.168.0.1 ou 0.0.0.0”, escreveu Brundage em um aviso de segurança inédito enviado a quase uma dúzia de provedores de proxy residencial em meados de dezembro de 2025. “Isso concede a um invasor a capacidade de enviar solicitações cuidadosamente elaboradas para o dispositivo atual ou um dispositivo na rede local. Isso está sendo ativamente explorado, com invasores aproveitando essa funcionalidade para descartar malware.”
Assim como as molduras digitais de fotos mencionadas acima, muitos desses serviços de proxy residencial são executados apenas em dispositivos móveis que estão executando algum jogo, VPN ou outro aplicativo com um componente oculto que transforma o telefone celular do usuário em um proxy residencial - muitas vezes sem nenhum consentimento significativo.
Em um relatório publicado hoje, a Synthient disse que os principais atores envolvidos no Kimwolf foram observados monetizando a botnet por meio de instalações de aplicativos, vendendo largura de banda de proxy residencial e vendendo sua funcionalidade DDoS.
“A Synthient espera observar um interesse crescente entre os atores de ameaças em obter acesso irrestrito a redes proxy para infectar dispositivos, obter acesso à rede ou acessar informações confidenciais”, observou o relatório. “Kimwolf destaca os riscos representados por redes proxy não seguras e sua viabilidade como um vetor de ataque.”
ANDROID DEBUG BRIDGE
Depois de comprar vários modelos de caixas de TV Android não oficiais que estavam mais fortemente representados na botnet Kimwolf, Brundage descobriu ainda que a vulnerabilidade do serviço proxy era apenas parte da razão para a rápida ascensão de Kimwolf: ele também descobriu que praticamente todos os dispositivos que ele testou foram enviados da fábrica com um recurso poderoso chamado Android Debug Bridge (ADB) ativado por padrão.
Muitas das caixas de TV Android não oficiais infectadas por Kimwolf incluem a isenção de responsabilidade ameaçadora: “Feito na China. Somente para uso no exterior.” Imagem: Synthient.
ADB é uma ferramenta de diagnóstico destinada ao uso apenas durante os processos de fabricação e teste, porque permite que os dispositivos sejam configurados remotamente e até mesmo atualizados com novos (e potencialmente maliciosos) firmwares. No entanto, enviar esses dispositivos com o ADB ativado cria um pesadelo de segurança porque, nesse estado, eles ouvem e aceitam constantemente solicitações de conexão não autenticadas.
Por exemplo, abrir um prompt de comando e digitar “adb connect” junto com o endereço IP (local) de um dispositivo vulnerável seguido imediatamente por “:5555” oferecerá muito rapidamente acesso administrativo “super usuário” irrestrito.
Brundage disse que, no início de dezembro, ele havia identificado uma sobreposição de um para um entre novas infecções por Kimwolf e endereços IP proxy oferecidos para aluguel pela IPIDEA, com sede na China, atualmente a maior rede de proxy residencial do mundo em todos os aspectos.
“Kimwolf quase dobrou de tamanho na semana passada, apenas explorando o pool de proxy da IPIDEA”, disse Brundage a KrebsOnSecurity no início de dezembro, enquanto se preparava para notificar a IPIDEA e outros 10 provedores de proxy sobre sua pesquisa.
Brundage disse que a Synthient confirmou pela primeira vez em 1º de dezembro de 2025 que os operadores da botnet Kimwolf estavam fazendo túnel de volta pela rede proxy da IPIDEA e nas redes locais de sistemas que executavam o software proxy da IPIDEA. Os invasores derrubaram a carga útil de malware direcionando os sistemas infectados a visitar um endereço específico da Internet e a chamar a frase de passe “krebsfiveheadindustries” para desbloquear o download malicioso.
Em 30 de dezembro, a Synthient disse que estava rastreando aproximadamente 2 milhões de endereços IPIDEA explorados por Kimwolf na semana anterior. Brundage disse que testemunhou Kimwolf se reconstruindo após um esforço recente de remoção visando seus servidores de controle - de quase nada a dois milhões de sistemas infectados, apenas fazendo túnel por meio de endpoints proxy na IPIDEA por alguns dias.
Brundage disse que a IPIDEA tem um suprimento aparentemente inesgotável de novos proxies, anunciando acesso a mais de 100 milhões de endpoints proxy residenciais em todo o mundo na semana passada. Analisando os dispositivos expostos que faziam parte do pool de proxy da IPIDEA, a Synthient disse que descobriu que mais de dois terços eram dispositivos Android que poderiam ser comprometidos sem necessidade de autenticação.
NOTIFICAÇÃO E RESPOSTA DE SEGURANÇA
Depois de traçar uma forte sobreposição nos endereços IP infectados por Kimwolf e nos vendidos pela IPIDEA, Brundage estava ansioso para tornar suas descobertas públicas: a vulnerabilidade havia sido claramente explorada por vários meses, embora parecesse que apenas um punhado de criminosos cibernéticos estava ciente da capacidade. Mas ele também sabia que tornar público sem dar aos provedores de proxy vulneráveis a oportunidade de entender e corrigi-lo só levaria a mais abusos em massa desses serviços por grupos criminosos cibernéticos adicionais.
Em 17 de dezembro, Brundage enviou uma notificação de segurança a todos os 11 provedores de proxy aparentemente afetados, na esperança de dar a cada um pelo menos algumas semanas para reconhecer e resolver os principais problemas identificados em seu relatório antes de se tornar público. Muitos provedores de proxy que receberam a notificação eram revendedores da IPIDEA que rotularam o serviço da empresa.
A KrebsOnSecurity procurou pela primeira vez comentários da IPIDEA em outubro de 2025, ao relatar uma história sobre como a rede proxy parecia ter se beneficiado da ascensão da botnet Aisuru, cujos administradores pareciam mudar de usar a botnet principalmente para ataques DDoS para simplesmente instalar o programa proxy da IPIDEA, entre outros.
Em 25 de dezembro, KrebsOnSecurity recebeu um e-mail de um funcionário da IPIDEA identificado apenas como “Oliver”, que disse que as alegações de que a IPIDEA havia se beneficiado da ascensão de Aisuru eram infundadas.
“Após verificar de forma abrangente os registros de rastreabilidade de IP e os acordos de cooperação com fornecedores, não encontramos nenhuma associação entre nenhum de nossos recursos de IP e a botnet Aisuru, nem recebemos quaisquer notificações de instituições autoritativas sobre nossos IPs estarem envolvidos em atividades maliciosas”, escreveu Oliver. “Além disso, para cooperação externa, implementamos um mecanismo de revisão de três níveis para fornecedores, cobrindo verificação de qualificação, autenticação de legalidade de recursos e monitoramento dinâmico contínuo, para garantir que não haja riscos de conformidade em todo o processo de cooperação.”
“A IPIDEA se opõe firmemente a todas as formas de concorrência desleal e difamação maliciosa na indústria, sempre participa da concorrência de mercado com operação em conformidade e cooperação honesta, e também apela a toda a indústria para que abandone conjuntamente comportamentos irregulares e antiéticos e construa um ecossistema de mercado limpo e justo”, continuou Oliver.
Enquanto isso, no mesmo dia em que o e-mail de Oliver chegou, Brundage compartilhou uma resposta que acabara de receber do oficial de segurança da IPIDEA, que se identificou apenas pelo primeiro nome Byron. O oficial de segurança disse que a IPIDEA havia feito uma série de importantes mudanças de segurança em seu serviço de proxy residencial para resolver a vulnerabilidade identificada no relatório de Brundage.
“Por design, o serviço proxy não permite o acesso a nenhum espaço de endereço interno ou local”, explicou Byron. “Esse problema foi rastreado até um módulo legado usado apenas para fins de teste e depuração, que não herdou totalmente as restrições de acesso à rede interna. Sob condições específicas, esse módulo poderia ser abusado para acessar recursos internos. Os caminhos afetados foram totalmente bloqueados e o módulo foi retirado do ar.”
Byron disse a Brundage que a IPIDEA também instituiu várias mitigações para bloquear a resolução de DNS para intervalos de IP internos (NAT) e que agora estava bloqueando os endpoints proxy de encaminhar tráfego em portas “de alto risco” “para evitar o abuso do serviço para digitalização, movimento lateral ou acesso a serviços internos”.
Brundage disse que a IPIDEA parece ter corrigido com sucesso as vulnerabilidades que ele identificou. Ele também observou que nunca observou os atores Kimwolf visando serviços proxy que não fossem a IPIDEA, que não respondeu aos pedidos de comentários.
Riley Kilmer é o fundador da Spur.us, uma empresa de tecnologia que ajuda as empresas a identificar e filtrar o tráfego proxy. Kilmer disse que a Spur testou as descobertas de Brundage e confirmou que a IPIDEA e todos os seus revendedores afiliados realmente permitiram acesso total e irrestrito à LAN local.
Kilmer disse que um modelo de caixas de TV Android não oficiais que é especialmente popular - o Superbox, que apresentamos em novembro em O seu Android TV Streaming Box faz parte de uma botnet? - deixa o Modo de Depuração Android em execução em localhost:5555.
“E como o Superbox transforma o IP em um proxy IPIDEA, um ator mal-intencionado só precisa usar o proxy para localhost nessa porta e instalar os SDKs [kits de desenvolvimento de software] ruins que quiser”, disse Kilmer a KrebsOnSecurity.
ECOS DO PASSADO
Brundage e Kilmer dizem que a IPIDEA parece ser a segunda ou terceira reencarnação de uma rede proxy residencial anteriormente conhecida como 911S5 Proxy, um serviço que operou entre 2014 e 2022 e foi muito popular em fóruns de crimes cibernéticos. 911S5 Proxy implodiu uma semana depois que a KrebsOnSecurity publicou uma análise aprofundada sobre as origens e liderança obscuras do serviço na China.
Nesse perfil de 2022, citamos o trabalho de pesquisadores da Universidade de Sherbrooke, no Canadá, que estavam estudando a ameaça que 911S5 poderia representar para redes corporativas internas. Os pesquisadores observaram que “a infecção de um nó permite que o usuário 911S5 acesse recursos compartilhados na rede, como portais de intranet locais ou outros serviços”.
“Ele também permite que o usuário final sonde a rede LAN do nó infectado”, explicaram os pesquisadores. “Usando o roteador interno, seria possível envenenar o cache DNS do roteador LAN do nó infectado, permitindo ataques adicionais.”
A 911S5 respondeu inicialmente ao nosso relatório em 2022, afirmando que estava conduzindo uma revisão de segurança de cima para baixo do serviço. Mas o serviço proxy fechou abruptamente apenas uma semana depois, dizendo que um hacker malicioso havia destruído todos os registros de clientes e pagamentos da empresa. Em julho de 2024, o Departamento do Tesouro dos EUA sancionou os supostos criadores da 911S5, e o Departamento de Justiça dos EUA prendeu o cidadão chinês nomeado em meu perfil de 2022 do serviço proxy.
Kilmer disse que a IPIDEA também opera um serviço irmão chamado 922 Proxy, que a empresa tem oferecido desde o primeiro dia como uma alternativa perfeita ao 911S5 Proxy.
“Você não pode me dizer que eles não querem os clientes 911 chamando-o assim”, disse Kilmer.
Entre os destinatários da notificação da Synthient estava a gigante proxy Oxylabs. Brundage compartilhou um e-mail que recebeu da equipe de segurança da Oxylabs em 31 de dezembro, que reconheceu que a Oxylabs havia começado a implementar modificações de segurança para resolver as vulnerabilidades descritas no relatório da Synthient.
Procurada para comentar, a Oxylabs confirmou que “implementou alterações que agora eliminam a capacidade de ignorar a lista de bloqueio e encaminhar solicitações para endereços de rede privada usando um domínio controlado”. Mas disse que não há evidências de que Kimwolf ou outros invasores tenham explorado sua rede.
“Em paralelo, revisamos os domínios identificados na atividade de exploração relatada e não observamos tráfego associado a eles”, continuou a declaração da Oxylabs. “Com base nesta revisão, não há indicação de que nossa rede residencial tenha sido impactada por essas atividades.”
IMPLICAÇÕES PRÁTICAS
Considere o seguinte cenário, no qual o mero ato de permitir que alguém use sua rede Wi-Fi pode levar a uma infecção por botnet Kimwolf. Neste exemplo, um amigo ou membro da família vem ficar com você por alguns dias, e você concede a eles acesso ao seu Wi-Fi sem saber que seu telefone celular está infectado com um aplicativo que transforma o dispositivo em um nó proxy residencial. Nesse ponto, o endereço IP público da sua casa aparecerá para aluguel no site de algum provedor de proxy residencial.
Criminosos como os por trás do Kimwolf, em seguida, usam serviços de proxy residencial online para acessar esse nó proxy em seu IP, fazer túnel de volta por meio dele e em sua rede de área local (LAN) e digitalizar automaticamente a rede interna em busca de dispositivos com o modo Android Debug Bridge ativado.
Quando seu convidado tiver feito as malas, se despedido e desconectado do seu Wi-Fi, você terá dois dispositivos em sua rede local - uma moldura digital e uma caixa de TV Android não oficial - que estão infectados com Kimwolf. Você pode nunca ter pretendido que esses dispositivos fossem expostos à Internet maior e, no entanto, lá está você.
Aqui está outro possível cenário de pesadelo: os invasores usam seu acesso a redes proxy para modificar as configurações do roteador de Internet para que ele dependa de servidores DNS maliciosos controlados pelos invasores - permitindo que eles controlem para onde seu navegador da Web vai quando solicita um site. Acha isso absurdo? Lembre-se do malware DNSChanger de 2012 que infectou mais de meio milhão de roteadores com malware de sequestro de pesquisa e, em última análise, gerou todo um grupo de trabalho da indústria de segurança focado em contê-lo e erradicá-lo.
XLAB
Grande parte do que foi publicado até agora sobre Kimwolf veio da empresa de segurança chinesa XLab, que foi a primeira a relatar a ascensão da botnet Aisuru no final de 2024. Em sua última postagem no blog, a XLab disse que começou a rastrear Kimwolf em 24 de outubro, quando os servidores de controle da botnet estavam inundando os servidores DNS do Cloudflare com pesquisas para o domínio distinto 14emeliaterracewestroxburyma02132[.]su.
Este domínio e outros conectados às primeiras variantes do Kimwolf passaram várias semanas liderando o gráfico do Cloudflare dos domínios mais procurados da Internet, superando Google.com e Apple.com de seus lugares de direito nos 5 domínios mais solicitados. Isso porque durante esse tempo Kimwolf estava pedindo a seus milhões de bots para fazerem check-in com frequência usando os servidores DNS do Cloudflare.
A empresa de segurança chinesa XLab descobriu que a botnet Kimwolf havia escravizado entre 1,8 e 2 milhões de dispositivos, com fortes concentrações no Brasil, Índia, Estados Unidos da América e Argentina. Imagem: blog.xlab.qianxin.com
É claro, lendo o relatório da XLab, que KrebsOnSecurity (e especialistas em segurança) provavelmente errou ao atribuir algumas das primeiras atividades do Kimwolf à botnet Aisuru, que parece ser operada por um grupo totalmente diferente. A IPDEA pode ter sido sincera quando disse que não tinha afiliação com a botnet Aisuru, mas os dados de Brundage não deixaram dúvidas de que seu serviço proxy estava sendo claramente abusado em massa pela variante Android de Aisuru, Kimwolf.
A XLab disse que Kimwolf infectou pelo menos 1,8 milhão de dispositivos e mostrou que é capaz de se reconstruir rapidamente do zero.
“A análise indica que os principais alvos de infecção do Kimwolf são caixas de TV implantadas em ambientes de rede residencial”, escreveram os pesquisadores da XLab. “Como as redes residenciais geralmente adotam mecanismos de alocação de IP dinâmicos, os IPs públicos dos dispositivos mudam com o tempo, portanto, a verdadeira escala de dispositivos infectados não pode ser medida com precisão apenas pela quantidade de IPs. Em outras palavras, a observação cumulativa de 2,7 milhões de endereços IP não equivale a 2,7 milhões de dispositivos infectados.”
A XLab disse que medir o tamanho do Kimwolf também é difícil porque os dispositivos infectados são distribuídos em vários fusos horários globais. “Afetados pelas diferenças de fuso horário e hábitos de uso (por exemplo, desligar os dispositivos à noite, não usar caixas de TV durante as férias, etc.), esses dispositivos não estão online simultaneamente, aumentando ainda mais a dificuldade de observação abrangente por meio de uma única janela de tempo”, observou a postagem do blog.
A XLab observou que o autor do Kimwolf mostra uma fixação quase ‘obsessiva’ em Yours Truly, aparentemente deixando “easter eggs” relacionados ao meu nome em vários lugares no código e nas comunicações da botnet:
Imagem: XLAB.
ANÁLISE E CONSELHOS
Um aspecto frustrante de ameaças como Kimwolf é que, na maioria dos casos, não é fácil para o usuário médio determinar se há algum dispositivo em sua rede interna que possa ser vulnerável a ameaças como Kimwolf e/ou já infectado com malware proxy residencial.
Vamos supor que, por meio de anos de treinamento em segurança ou alguma magia negra, você possa identificar com sucesso que a atividade de proxy residencial em sua rede interna estava vinculada a um dispositivo móvel específico dentro de sua casa: a partir daí, você ainda precisaria isolar e remover o aplicativo ou componente indesejado que está transformando o dispositivo em um proxy residencial.
Além disso, as ferramentas e o conhecimento necessários para obter esse tipo de visibilidade simplesmente não estão disponíveis do ponto de vista do consumidor médio. O trabalho que leva para configurar sua rede para que você possa ver e interpretar logs de todo o tráfego que entra e sai está amplamente além das habilidades da maioria dos usuários da Internet (e, aposto, de muitos especialistas em segurança). Mas é um tópico que vale a pena explorar em uma próxima história.
Felizmente, a Synthient ergueu uma página em seu site que informará se o endereço de Internet público de um visitante foi visto entre os de sistemas infectados por Kimwolf. Brundage também compilou uma lista das caixas de TV Android não oficiais que estão mais altamente representadas na botnet Kimwolf.
Se você possui uma caixa de TV que corresponde a um desses nomes e/ou números de modelo, por favor, retire-a da sua rede. Se você encontrar um desses dispositivos na rede de um membro da família ou amigo, envie a eles um link para esta história e explique que não vale a pena o potencial incômodo e dano criados por mantê-los conectados.
Os 15 principais dispositivos de produto representados na botnet Kimwolf, de acordo com a Synthient.
Chad Seaman é pesquisador de segurança principal da Akamai Technologies. Seaman disse que quer que mais consumidores desconfiem dessas pseudo caixas de TV Android a ponto de evitá-las completamente.
“Eu quero que o consumidor seja paranoico com esses dispositivos ruins e com esses esquemas de proxy residencial”, disse ele. “Precisamos destacar por que eles são perigosos para todos e para o indivíduo. Todo o modelo de segurança em que as pessoas pensam que sua LAN (Rede Interna Local) é segura, que não há bandidos na LAN, então não pode ser tão perigoso, está realmente desatualizado agora.”
“A ideia de que um aplicativo pode permitir esse tipo de abuso em minha rede e em outras redes, isso realmente deveria fazer você parar”, sobre quais dispositivos permitir em sua rede local, disse Seaman. “E não são apenas dispositivos Android aqui. Alguns desses serviços proxy têm SDKs para Mac e Windows e para iPhone. Poderia estar executando algo que inadvertidamente abre sua rede e deixa inúmeras pessoas aleatórias entrarem.”
Em julho de 2025, o Google entrou com uma ação judicial “John Doe” (PDF) contra 25 réus não identificados, coletivamente apelidados de “BadBox 2.0 Enterprise”, que o Google descreveu como uma botnet de mais de dez milhões de dispositivos de streaming Android não sancionados envolvidos em fraude publicitária. O Google disse que a botnet BADBOX 2.0, além de comprometer vários tipos de dispositivos antes da compra, também pode infectar dispositivos exigindo o download de aplicativos maliciosos de mercados não oficiais.
A ação judicial do Google veio na sequência de um aviso de junho de 2025 do Federal Bureau of Investigation (FBI), que alertou que criminosos cibernéticos estavam ganhando acesso não autorizado
A história que você está lendo é uma série de revelações aninhadas em um alerta de segurança de Internet muito mais urgente. A vulnerabilidade em questão está sendo explorada há meses e é hora de uma conscientização mais ampla sobre a ameaça. A versão curta é que tudo o que você pensava saber sobre a segurança da rede interna por trás do seu roteador de Internet provavelmente está perigosamente desatualizado.
A empresa de segurança Synthient atualmente observa mais de 2 milhões de dispositivos Kimwolf infectados distribuídos globalmente, mas com concentrações no Vietnã, Brasil, Índia, Arábia Saudita, Rússia e Estados Unidos. A Synthient descobriu que dois terços das infecções por Kimwolf são caixas de TV Android sem segurança ou autenticação integradas.
Os últimos meses testemunharam o crescimento explosivo de uma nova botnet apelidada de Kimwolf, que, segundo especialistas, infectou mais de 2 milhões de dispositivos globalmente. O malware Kimwolf força sistemas comprometidos a retransmitir tráfego de Internet malicioso e abusivo - como fraude de anúncios, tentativas de apropriação de contas e raspagem de conteúdo em massa - e participar de ataques distribuídos de negação de serviço (DDoS) incapacitantes, capazes de derrubar quase qualquer site por dias a fio.
Mais importante do que o tamanho impressionante de Kimwolf, no entanto, é o método diabólico que ela usa para se espalhar tão rapidamente: efetivamente, fazendo túnel de volta por meio de várias redes de “proxy residencial” e nas redes locais dos endpoints proxy, e infectando ainda mais dispositivos que estão escondidos atrás da suposta proteção do firewall e do roteador de Internet do usuário.
Redes de proxy residencial são vendidas como uma forma de os clientes anonimizarem e localizarem seu tráfego da Web em uma região específica, e os maiores desses serviços permitem que os clientes encaminhem seu tráfego por meio de dispositivos em praticamente qualquer país ou cidade ao redor do mundo.
O malware que transforma a conexão de Internet de um usuário final em um nó proxy é frequentemente agrupado com aplicativos e jogos móveis suspeitos. Esses programas de proxy residencial também são comumente instalados por meio de caixas de TV Android não oficiais vendidas por comerciantes terceirizados em sites de comércio eletrônico populares como Amazon, BestBuy, Newegg e Walmart.
Essas caixas de TV variam em preço de US$ 40 a US$ 400, são comercializadas sob uma gama vertiginosa de marcas e números de modelos sem nome e frequentemente são anunciadas como uma forma de transmitir certos tipos de conteúdo de vídeo por assinatura gratuitamente. Mas há um custo oculto nessa transação: como exploraremos em um momento, essas caixas de TV representam uma parte considerável dos estimados dois milhões de sistemas atualmente infectados com Kimwolf.
Kimwolf também é muito bom em infectar uma variedade de molduras digitais de fotos conectadas à Internet, que também são abundantes em grandes sites de comércio eletrônico. Em novembro de 2025, pesquisadores da Quokka publicaram um relatório (PDF) detalhando sérios problemas de segurança em molduras de fotos digitais baseadas em Android executando o aplicativo Uhale - incluindo a moldura digital mais vendida da Amazon em março de 2025.
Há dois grandes problemas de segurança com essas molduras de fotos e caixas de TV Android não oficiais. O primeiro é que uma porcentagem considerável delas vem com malware pré-instalado ou exige que o usuário baixe uma loja de aplicativos Android não oficial e malware para usar o dispositivo para sua finalidade declarada (pirataria de conteúdo de vídeo). Os mais típicos desses convidados não convidados são pequenos programas que transformam o dispositivo em um nó proxy residencial que é revendido a outros.
O segundo grande pesadelo de segurança com essas molduras de fotos e caixas de TV Android não oficiais é que elas dependem de um punhado de placas de microcomputador conectadas à Internet que não possuem requisitos de segurança ou autenticação discerníveis integrados. Em outras palavras, se você estiver na mesma rede que um ou mais desses dispositivos, provavelmente poderá comprometê-los simultaneamente emitindo um único comando pela rede.
NÃO HÁ LUGAR COMO 127.0.0.1
A combinação dessas duas realidades de segurança veio à tona em outubro de 2025, quando um estudante de graduação em ciência da computação do Rochester Institute of Technology começou a rastrear de perto o crescimento de Kimwolf e a interagir diretamente com seus criadores aparentes diariamente.
Benjamin Brundage é o fundador, de 22 anos, da empresa de segurança Synthient, uma startup que ajuda empresas a detectar redes proxy e aprender como essas redes estão sendo abusadas. Conduzindo grande parte de sua pesquisa sobre Kimwolf enquanto estudava para os exames finais, Brundage disse a KrebsOnSecurity no final de outubro de 2025 que suspeitava que Kimwolf fosse uma nova variante baseada em Android de Aisuru, uma botnet que foi incorretamente culpada por vários ataques DDoS recordes no outono passado.
Brundage diz que Kimwolf cresceu rapidamente abusando de uma vulnerabilidade gritante em muitos dos maiores serviços de proxy residencial do mundo. O cerne da fraqueza, explicou ele, era que esses serviços de proxy não estavam fazendo o suficiente para impedir que seus clientes encaminhassem solicitações para servidores internos dos endpoints proxy individuais.
A maioria dos serviços de proxy toma medidas básicas para impedir que seus clientes pagantes “subam” para a rede local dos endpoints proxy, negando explicitamente solicitações de endereços locais especificados em RFC-1918, incluindo os conhecidos intervalos de Tradução de Endereço de Rede (NAT) 10.0.0.0/8, 192.168.0.0/16 e 172.16.0.0/12. Esses intervalos permitem que vários dispositivos em uma rede privada acessem a Internet usando um único endereço IP público, e se você executar qualquer tipo de rede doméstica ou de escritório, seu espaço de endereço interno opera dentro de um ou mais desses intervalos NAT.
No entanto, Brundage descobriu que as pessoas que operam Kimwolf haviam descoberto como falar diretamente com dispositivos nas redes internas de milhões de endpoints proxy residenciais, simplesmente alterando suas configurações do Sistema de Nomes de Domínio (DNS) para corresponder às dos intervalos de endereços RFC-1918.
“É possível contornar as restrições de domínio existentes usando registros DNS que apontam para 192.168.0.1 ou 0.0.0.0”, escreveu Brundage em um aviso de segurança inédito enviado a quase uma dúzia de provedores de proxy residencial em meados de dezembro de 2025. “Isso concede a um invasor a capacidade de enviar solicitações cuidadosamente elaboradas para o dispositivo atual ou um dispositivo na rede local. Isso está sendo ativamente explorado, com invasores aproveitando essa funcionalidade para descartar malware.”
Assim como as molduras digitais de fotos mencionadas acima, muitos desses serviços de proxy residencial são executados apenas em dispositivos móveis que estão executando algum jogo, VPN ou outro aplicativo com um componente oculto que transforma o telefone celular do usuário em um proxy residencial - muitas vezes sem nenhum consentimento significativo.
Em um relatório publicado hoje, a Synthient disse que os principais atores envolvidos no Kimwolf foram observados monetizando a botnet por meio de instalações de aplicativos, vendendo largura de banda de proxy residencial e vendendo sua funcionalidade DDoS.
“A Synthient espera observar um interesse crescente entre os atores de ameaças em obter acesso irrestrito a redes proxy para infectar dispositivos, obter acesso à rede ou acessar informações confidenciais”, observou o relatório. “Kimwolf destaca os riscos representados por redes proxy não seguras e sua viabilidade como um vetor de ataque.”
ANDROID DEBUG BRIDGE
Depois de comprar vários modelos de caixas de TV Android não oficiais que estavam mais fortemente representados na botnet Kimwolf, Brundage descobriu ainda que a vulnerabilidade do serviço proxy era apenas parte da razão para a rápida ascensão de Kimwolf: ele também descobriu que praticamente todos os dispositivos que ele testou foram enviados da fábrica com um recurso poderoso chamado Android Debug Bridge (ADB) ativado por padrão.
Muitas das caixas de TV Android não oficiais infectadas por Kimwolf incluem a isenção de responsabilidade ameaçadora: “Feito na China. Somente para uso no exterior.” Imagem: Synthient.
ADB é uma ferramenta de diagnóstico destinada ao uso apenas durante os processos de fabricação e teste, porque permite que os dispositivos sejam configurados remotamente e até mesmo atualizados com novos (e potencialmente maliciosos) firmwares. No entanto, enviar esses dispositivos com o ADB ativado cria um pesadelo de segurança porque, nesse estado, eles ouvem e aceitam constantemente solicitações de conexão não autenticadas.
Por exemplo, abrir um prompt de comando e digitar “adb connect” junto com o endereço IP (local) de um dispositivo vulnerável seguido imediatamente por “:5555” oferecerá muito rapidamente acesso administrativo “super usuário” irrestrito.
Brundage disse que, no início de dezembro, ele havia identificado uma sobreposição de um para um entre novas infecções por Kimwolf e endereços IP proxy oferecidos para aluguel pela IPIDEA, com sede na China, atualmente a maior rede de proxy residencial do mundo em todos os aspectos.
“Kimwolf quase dobrou de tamanho na semana passada, apenas explorando o pool de proxy da IPIDEA”, disse Brundage a KrebsOnSecurity no início de dezembro, enquanto se preparava para notificar a IPIDEA e outros 10 provedores de proxy sobre sua pesquisa.
Brundage disse que a Synthient confirmou pela primeira vez em 1º de dezembro de 2025 que os operadores da botnet Kimwolf estavam fazendo túnel de volta pela rede proxy da IPIDEA e nas redes locais de sistemas que executavam o software proxy da IPIDEA. Os invasores derrubaram a carga útil de malware direcionando os sistemas infectados a visitar um endereço específico da Internet e a chamar a frase de passe “krebsfiveheadindustries” para desbloquear o download malicioso.
Em 30 de dezembro, a Synthient disse que estava rastreando aproximadamente 2 milhões de endereços IPIDEA explorados por Kimwolf na semana anterior. Brundage disse que testemunhou Kimwolf se reconstruindo após um esforço recente de remoção visando seus servidores de controle - de quase nada a dois milhões de sistemas infectados, apenas fazendo túnel por meio de endpoints proxy na IPIDEA por alguns dias.
Brundage disse que a IPIDEA tem um suprimento aparentemente inesgotável de novos proxies, anunciando acesso a mais de 100 milhões de endpoints proxy residenciais em todo o mundo na semana passada. Analisando os dispositivos expostos que faziam parte do pool de proxy da IPIDEA, a Synthient disse que descobriu que mais de dois terços eram dispositivos Android que poderiam ser comprometidos sem necessidade de autenticação.
NOTIFICAÇÃO E RESPOSTA DE SEGURANÇA
Depois de traçar uma forte sobreposição nos endereços IP infectados por Kimwolf e nos vendidos pela IPIDEA, Brundage estava ansioso para tornar suas descobertas públicas: a vulnerabilidade havia sido claramente explorada por vários meses, embora parecesse que apenas um punhado de criminosos cibernéticos estava ciente da capacidade. Mas ele também sabia que tornar público sem dar aos provedores de proxy vulneráveis a oportunidade de entender e corrigi-lo só levaria a mais abusos em massa desses serviços por grupos criminosos cibernéticos adicionais.
Em 17 de dezembro, Brundage enviou uma notificação de segurança a todos os 11 provedores de proxy aparentemente afetados, na esperança de dar a cada um pelo menos algumas semanas para reconhecer e resolver os principais problemas identificados em seu relatório antes de se tornar público. Muitos provedores de proxy que receberam a notificação eram revendedores da IPIDEA que rotularam o serviço da empresa.
A KrebsOnSecurity procurou pela primeira vez comentários da IPIDEA em outubro de 2025, ao relatar uma história sobre como a rede proxy parecia ter se beneficiado da ascensão da botnet Aisuru, cujos administradores pareciam mudar de usar a botnet principalmente para ataques DDoS para simplesmente instalar o programa proxy da IPIDEA, entre outros.
Em 25 de dezembro, KrebsOnSecurity recebeu um e-mail de um funcionário da IPIDEA identificado apenas como “Oliver”, que disse que as alegações de que a IPIDEA havia se beneficiado da ascensão de Aisuru eram infundadas.
“Após verificar de forma abrangente os registros de rastreabilidade de IP e os acordos de cooperação com fornecedores, não encontramos nenhuma associação entre nenhum de nossos recursos de IP e a botnet Aisuru, nem recebemos quaisquer notificações de instituições autoritativas sobre nossos IPs estarem envolvidos em atividades maliciosas”, escreveu Oliver. “Além disso, para cooperação externa, implementamos um mecanismo de revisão de três níveis para fornecedores, cobrindo verificação de qualificação, autenticação de legalidade de recursos e monitoramento dinâmico contínuo, para garantir que não haja riscos de conformidade em todo o processo de cooperação.”
“A IPIDEA se opõe firmemente a todas as formas de concorrência desleal e difamação maliciosa na indústria, sempre participa da concorrência de mercado com operação em conformidade e cooperação honesta, e também apela a toda a indústria para que abandone conjuntamente comportamentos irregulares e antiéticos e construa um ecossistema de mercado limpo e justo”, continuou Oliver.
Enquanto isso, no mesmo dia em que o e-mail de Oliver chegou, Brundage compartilhou uma resposta que acabara de receber do oficial de segurança da IPIDEA, que se identificou apenas pelo primeiro nome Byron. O oficial de segurança disse que a IPIDEA havia feito uma série de importantes mudanças de segurança em seu serviço de proxy residencial para resolver a vulnerabilidade identificada no relatório de Brundage.
“Por design, o serviço proxy não permite o acesso a nenhum espaço de endereço interno ou local”, explicou Byron. “Esse problema foi rastreado até um módulo legado usado apenas para fins de teste e depuração, que não herdou totalmente as restrições de acesso à rede interna. Sob condições específicas, esse módulo poderia ser abusado para acessar recursos internos. Os caminhos afetados foram totalmente bloqueados e o módulo foi retirado do ar.”
Byron disse a Brundage que a IPIDEA também instituiu várias mitigações para bloquear a resolução de DNS para intervalos de IP internos (NAT) e que agora estava bloqueando os endpoints proxy de encaminhar tráfego em portas “de alto risco” “para evitar o abuso do serviço para digitalização, movimento lateral ou acesso a serviços internos”.
Brundage disse que a IPIDEA parece ter corrigido com sucesso as vulnerabilidades que ele identificou. Ele também observou que nunca observou os atores Kimwolf visando serviços proxy que não fossem a IPIDEA, que não respondeu aos pedidos de comentários.
Riley Kilmer é o fundador da Spur.us, uma empresa de tecnologia que ajuda as empresas a identificar e filtrar o tráfego proxy. Kilmer disse que a Spur testou as descobertas de Brundage e confirmou que a IPIDEA e todos os seus revendedores afiliados realmente permitiram acesso total e irrestrito à LAN local.
Kilmer disse que um modelo de caixas de TV Android não oficiais que é especialmente popular - o Superbox, que apresentamos em novembro em O seu Android TV Streaming Box faz parte de uma botnet? - deixa o Modo de Depuração Android em execução em localhost:5555.
“E como o Superbox transforma o IP em um proxy IPIDEA, um ator mal-intencionado só precisa usar o proxy para localhost nessa porta e instalar os SDKs [kits de desenvolvimento de software] ruins que quiser”, disse Kilmer a KrebsOnSecurity.
ECOS DO PASSADO
Brundage e Kilmer dizem que a IPIDEA parece ser a segunda ou terceira reencarnação de uma rede proxy residencial anteriormente conhecida como 911S5 Proxy, um serviço que operou entre 2014 e 2022 e foi muito popular em fóruns de crimes cibernéticos. 911S5 Proxy implodiu uma semana depois que a KrebsOnSecurity publicou uma análise aprofundada sobre as origens e liderança obscuras do serviço na China.
Nesse perfil de 2022, citamos o trabalho de pesquisadores da Universidade de Sherbrooke, no Canadá, que estavam estudando a ameaça que 911S5 poderia representar para redes corporativas internas. Os pesquisadores observaram que “a infecção de um nó permite que o usuário 911S5 acesse recursos compartilhados na rede, como portais de intranet locais ou outros serviços”.
“Ele também permite que o usuário final sonde a rede LAN do nó infectado”, explicaram os pesquisadores. “Usando o roteador interno, seria possível envenenar o cache DNS do roteador LAN do nó infectado, permitindo ataques adicionais.”
A 911S5 respondeu inicialmente ao nosso relatório em 2022, afirmando que estava conduzindo uma revisão de segurança de cima para baixo do serviço. Mas o serviço proxy fechou abruptamente apenas uma semana depois, dizendo que um hacker malicioso havia destruído todos os registros de clientes e pagamentos da empresa. Em julho de 2024, o Departamento do Tesouro dos EUA sancionou os supostos criadores da 911S5, e o Departamento de Justiça dos EUA prendeu o cidadão chinês nomeado em meu perfil de 2022 do serviço proxy.
Kilmer disse que a IPIDEA também opera um serviço irmão chamado 922 Proxy, que a empresa tem oferecido desde o primeiro dia como uma alternativa perfeita ao 911S5 Proxy.
“Você não pode me dizer que eles não querem os clientes 911 chamando-o assim”, disse Kilmer.
Entre os destinatários da notificação da Synthient estava a gigante proxy Oxylabs. Brundage compartilhou um e-mail que recebeu da equipe de segurança da Oxylabs em 31 de dezembro, que reconheceu que a Oxylabs havia começado a implementar modificações de segurança para resolver as vulnerabilidades descritas no relatório da Synthient.
Procurada para comentar, a Oxylabs confirmou que “implementou alterações que agora eliminam a capacidade de ignorar a lista de bloqueio e encaminhar solicitações para endereços de rede privada usando um domínio controlado”. Mas disse que não há evidências de que Kimwolf ou outros invasores tenham explorado sua rede.
“Em paralelo, revisamos os domínios identificados na atividade de exploração relatada e não observamos tráfego associado a eles”, continuou a declaração da Oxylabs. “Com base nesta revisão, não há indicação de que nossa rede residencial tenha sido impactada por essas atividades.”
IMPLICAÇÕES PRÁTICAS
Considere o seguinte cenário, no qual o mero ato de permitir que alguém use sua rede Wi-Fi pode levar a uma infecção por botnet Kimwolf. Neste exemplo, um amigo ou membro da família vem ficar com você por alguns dias, e você concede a eles acesso ao seu Wi-Fi sem saber que seu telefone celular está infectado com um aplicativo que transforma o dispositivo em um nó proxy residencial. Nesse ponto, o endereço IP público da sua casa aparecerá para aluguel no site de algum provedor de proxy residencial.
Criminosos como os por trás do Kimwolf, em seguida, usam serviços de proxy residencial online para acessar esse nó proxy em seu IP, fazer túnel de volta por meio dele e em sua rede de área local (LAN) e digitalizar automaticamente a rede interna em busca de dispositivos com o modo Android Debug Bridge ativado.
Quando seu convidado tiver feito as malas, se despedido e desconectado do seu Wi-Fi, você terá dois dispositivos em sua rede local - uma moldura digital e uma caixa de TV Android não oficial - que estão infectados com Kimwolf. Você pode nunca ter pretendido que esses dispositivos fossem expostos à Internet maior e, no entanto, lá está você.
Aqui está outro possível cenário de pesadelo: os invasores usam seu acesso a redes proxy para modificar as configurações do roteador de Internet para que ele dependa de servidores DNS maliciosos controlados pelos invasores - permitindo que eles controlem para onde seu navegador da Web vai quando solicita um site. Acha isso absurdo? Lembre-se do malware DNSChanger de 2012 que infectou mais de meio milhão de roteadores com malware de sequestro de pesquisa e, em última análise, gerou todo um grupo de trabalho da indústria de segurança focado em contê-lo e erradicá-lo.
XLAB
Grande parte do que foi publicado até agora sobre Kimwolf veio da empresa de segurança chinesa XLab, que foi a primeira a relatar a ascensão da botnet Aisuru no final de 2024. Em sua última postagem no blog, a XLab disse que começou a rastrear Kimwolf em 24 de outubro, quando os servidores de controle da botnet estavam inundando os servidores DNS do Cloudflare com pesquisas para o domínio distinto 14emeliaterracewestroxburyma02132[.]su.
Este domínio e outros conectados às primeiras variantes do Kimwolf passaram várias semanas liderando o gráfico do Cloudflare dos domínios mais procurados da Internet, superando Google.com e Apple.com de seus lugares de direito nos 5 domínios mais solicitados. Isso porque durante esse tempo Kimwolf estava pedindo a seus milhões de bots para fazerem check-in com frequência usando os servidores DNS do Cloudflare.
A empresa de segurança chinesa XLab descobriu que a botnet Kimwolf havia escravizado entre 1,8 e 2 milhões de dispositivos, com fortes concentrações no Brasil, Índia, Estados Unidos da América e Argentina. Imagem: blog.xlab.qianxin.com
É claro, lendo o relatório da XLab, que KrebsOnSecurity (e especialistas em segurança) provavelmente errou ao atribuir algumas das primeiras atividades do Kimwolf à botnet Aisuru, que parece ser operada por um grupo totalmente diferente. A IPDEA pode ter sido sincera quando disse que não tinha afiliação com a botnet Aisuru, mas os dados de Brundage não deixaram dúvidas de que seu serviço proxy estava sendo claramente abusado em massa pela variante Android de Aisuru, Kimwolf.
A XLab disse que Kimwolf infectou pelo menos 1,8 milhão de dispositivos e mostrou que é capaz de se reconstruir rapidamente do zero.
“A análise indica que os principais alvos de infecção do Kimwolf são caixas de TV implantadas em ambientes de rede residencial”, escreveram os pesquisadores da XLab. “Como as redes residenciais geralmente adotam mecanismos de alocação de IP dinâmicos, os IPs públicos dos dispositivos mudam com o tempo, portanto, a verdadeira escala de dispositivos infectados não pode ser medida com precisão apenas pela quantidade de IPs. Em outras palavras, a observação cumulativa de 2,7 milhões de endereços IP não equivale a 2,7 milhões de dispositivos infectados.”
A XLab disse que medir o tamanho do Kimwolf também é difícil porque os dispositivos infectados são distribuídos em vários fusos horários globais. “Afetados pelas diferenças de fuso horário e hábitos de uso (por exemplo, desligar os dispositivos à noite, não usar caixas de TV durante as férias, etc.), esses dispositivos não estão online simultaneamente, aumentando ainda mais a dificuldade de observação abrangente por meio de uma única janela de tempo”, observou a postagem do blog.
A XLab observou que o autor do Kimwolf mostra uma fixação quase ‘obsessiva’ em Yours Truly, aparentemente deixando “easter eggs” relacionados ao meu nome em vários lugares no código e nas comunicações da botnet:
Imagem: XLAB.
ANÁLISE E CONSELHOS
Um aspecto frustrante de ameaças como Kimwolf é que, na maioria dos casos, não é fácil para o usuário médio determinar se há algum dispositivo em sua rede interna que possa ser vulnerável a ameaças como Kimwolf e/ou já infectado com malware proxy residencial.
Vamos supor que, por meio de anos de treinamento em segurança ou alguma magia negra, você possa identificar com sucesso que a atividade de proxy residencial em sua rede interna estava vinculada a um dispositivo móvel específico dentro de sua casa: a partir daí, você ainda precisaria isolar e remover o aplicativo ou componente indesejado que está transformando o dispositivo em um proxy residencial.
Além disso, as ferramentas e o conhecimento necessários para obter esse tipo de visibilidade simplesmente não estão disponíveis do ponto de vista do consumidor médio. O trabalho que leva para configurar sua rede para que você possa ver e interpretar logs de todo o tráfego que entra e sai está amplamente além das habilidades da maioria dos usuários da Internet (e, aposto, de muitos especialistas em segurança). Mas é um tópico que vale a pena explorar em uma próxima história.
Felizmente, a Synthient ergueu uma página em seu site que informará se o endereço de Internet público de um visitante foi visto entre os de sistemas infectados por Kimwolf. Brundage também compilou uma lista das caixas de TV Android não oficiais que estão mais altamente representadas na botnet Kimwolf.
Se você possui uma caixa de TV que corresponde a um desses nomes e/ou números de modelo, por favor, retire-a da sua rede. Se você encontrar um desses dispositivos na rede de um membro da família ou amigo, envie a eles um link para esta história e explique que não vale a pena o potencial incômodo e dano criados por mantê-los conectados.
Os 15 principais dispositivos de produto representados na botnet Kimwolf, de acordo com a Synthient.
Chad Seaman é pesquisador de segurança principal da Akamai Technologies. Seaman disse que quer que mais consumidores desconfiem dessas pseudo caixas de TV Android a ponto de evitá-las completamente.
“Eu quero que o consumidor seja paranoico com esses dispositivos ruins e com esses esquemas de proxy residencial”, disse ele. “Precisamos destacar por que eles são perigosos para todos e para o indivíduo. Todo o modelo de segurança em que as pessoas pensam que sua LAN (Rede Interna Local) é segura, que não há bandidos na LAN, então não pode ser tão perigoso, está realmente desatualizado agora.”
“A ideia de que um aplicativo pode permitir esse tipo de abuso em minha rede e em outras redes, isso realmente deveria fazer você parar”, sobre quais dispositivos permitir em sua rede local, disse Seaman. “E não são apenas dispositivos Android aqui. Alguns desses serviços proxy têm SDKs para Mac e Windows e para iPhone. Poderia estar executando algo que inadvertidamente abre sua rede e deixa inúmeras pessoas aleatórias entrarem.”
Em julho de 2025, o Google entrou com uma ação judicial “John Doe” (PDF) contra 25 réus não identificados, coletivamente apelidados de “BadBox 2.0 Enterprise”, que o Google descreveu como uma botnet de mais de dez milhões de dispositivos de streaming Android não sancionados envolvidos em fraude publicitária. O Google disse que a botnet BADBOX 2.0, além de comprometer vários tipos de dispositivos antes da compra, também pode infectar dispositivos exigindo o download de aplicativos maliciosos de mercados não oficiais.
A ação judicial do Google veio na sequência de um aviso de junho de 2025 do Federal Bureau of Investigation (FBI), que alertou que criminosos cibernéticos estavam ganhando acesso não autorizado
