Kimwolf-Botnet kapert über zwei Millionen Android-Geräte

Ein neues Botnetz namens „Kimwolf“ hat weltweit mehr als zwei Millionen Android-Geräte infiltriert. Die Angreifer nutzen eine bekannte Schwachstelle, um vor allem unsichere TV-Boxen und Streaming-Geräte zu übernehmen. Das Netzwerk wird für massive DDoS-Angriffe und den Verkauf privater Internetdaten missbraucht.

Das Botnetz nutzt eine verbreitete Sicherheitslücke: die offene und ungeschützte Android Debug Bridge (ADB). Dieses Entwicklertool ermöglicht bei falscher Konfiguration vollen Fernzugriff. Besonders betroffen sind günstige, nicht von Google zertifizierte Geräte, die oft mit aktivierter ADB ausgeliefert werden.

Die Angreifer scannen systematisch das Internet nach solchen verwundbaren Geräten. Unterstützt werden sie dabei von sogenannten Residential-Proxy-Netzwerken, die ihre Aktivitäten verschleiern. Teilweise sind Geräte sogar schon ab Werk mit Schadsoftware vorinfiziert und werden Minuten nach dem Anschluss ans Internet Teil des Botnetzes.

Passend zum Thema Cyber-Angriffe: Viele Unternehmen unterschätzen, wie verwundbar vernetzte Android-Geräte sind – Untersuchungen zeigen, dass 73% der deutschen Firmen auf Cyberangriffe nicht ausreichend vorbereitet sind. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen zusammen, erklärt typische Angriffswege wie Botnetze und offene ADB‑Schnittstellen und gibt sofort umsetzbare Maßnahmen für IT‑Verantwortliche an die Hand, um Netzwerke schnell zu härten. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Ein vielschichtiges kriminelles Geschäftsmodell

Kimwolf ist mehr als nur ein Werkzeug für Cyber-Angriffe. Experten sehen in ihm einen Nachfolger des bekannten Botnetzes „Aisuru“. Die Betreiber verfolgen ein dreigleisiges Geschäftsmodell zur Monetarisierung:
* DDoS-Angriffe: Die Rechenleistung der gekaperten Geräte wird genutzt, um Server mit Anfragen zu überfluten und lahmzulegen. Kimwolf steht im Verdacht, für einige der größten Angriffe des letzten Jahres verantwortlich zu sein.
* Verkauf von Proxy-Diensten: Der Internetverkehr der infizierten Geräte wird weiterverkauft. So können andere Kriminelle ihre Spuren im Netz verwischen.
* Betrügerische App-Installationen: Die Malware installiert ohne Zustimmung weitere Apps, was den Betreibern vermutlich über Provisionen Einnahmen bringt.

Günstige Geräte als Hauptziel

Das Botnetz agiert global, mit Infektionsschwerpunkten in Vietnam, Brasilien, Indien und Saudi-Arabien. Wöchentlich werden rund 12 Millionen einzigartige IP-Adressen mit dem Netzwerk in Verbindung gebracht.

Die Hauptziele sind keine Marken-Smartphones, sondern preiswerte Android-TV-Boxen, Streaming-Sticks und Tablets. Diese erhalten oft keine Sicherheitsupdates und haben keinen Schutz durch Google Play Protect. Aktuell richten sich die DDoS-Angriffe unter anderem gegen Minecraft-Server.

Systemisches Sicherheitsproblem

Der Fall Kimwolf offenbart grundlegende Schwächen in der Lieferkette für Elektronik. Die Nachfrage nach billigen Geräten führt dazu, dass Hersteller an der Sicherheit sparen. Gleichzeitig bieten kommerzielle Proxy-Dienste die Infrastruktur, die für die Verbreitung solcher Botnetze genutzt wird.

Bereits im Dezember musste der Proxy-Anbieter IPIDEA eine kritische Lücke schließen, nachdem sein Netzwerk ein primäres Ziel der Angreifer war.

Gegenmaßnahmen laufen an

Sicherheitsfirmen und Internetanbieter haben den Kampf gegen Kimwolf aufgenommen. In einer koordinierten Aktion wurden bereits über 550 Kommando- und Kontrollserver des Botnetzes blockiert und vom Netz genommen.

Für Verbraucher bleibt die Bedrohung real. Experten raten:
* In den Entwickleroptionen des Android-Geräts zu prüfen, ob ADB aktiviert ist, und die Funktion zu deaktivieren, wenn sie nicht benötigt wird.
* Beim Kauf von günstigen No-Name-Android-Geräten besonders vorsichtig zu sein.
* Netzwerkbetreiber sollten den Zugriff auf private IP-Bereiche blockieren, um die Verbreitungsmethode zu unterbinden.

Solange die Nachfrage nach billiger Bandbreite aus privaten Netzwerken besteht, bleibt das Risiko durch solche Botnetze hoch.

PS: Sie betreiben Firmenetzwerke oder verantworten IT-Sicherheit? Das kostenlose E‑Book liefert eine praxisorientierte Checkliste mit Prioritäten, einfachen Kontrollen, Segmentierungstipps und Monitoring‑Schritten, mit denen Sie das Risiko durch Botnetze wie Kimwolf deutlich reduzieren können – oft ohne teure Neueinstellungen oder große Investitionen. Für kleine und mittlere Unternehmen ist das eine kompakte Anleitung, um sofort zu handeln. Gratis E‑Book: Cyber-Security-Checkliste herunterladen