Kimwolf-Botnet: Millionen Android-Geräte für Rekord-DDoS-Attacken missbraucht

Sicherheitsforscher haben ein riesiges Botnet aus Android-TV-Boxen und Tablets enttarnt. Das “Kimwolf”-Netzwerk kaperte fast zwei Millionen Geräte und nutzte sie für eine historische Angriffswelle im November.

Ein digitaler Riese mit verheerender Kraft

Die Dimensionen sind alarmierend: Auf seinem Höhepunkt Anfang Dezember umfasste das Botnet über 1,8 Millionen gleichzeitig aktive Geräte. Insgesamt identifizierten die Experten von QiAnXin XLab mehr als 3,6 Millionen kompromittierte IP-Adressen.

Die Angriffskapazität war gewaltig. Allein zwischen dem 19. und 22. November schickten die Hintermänner rund 1,7 Milliarden DDoS-Befehle an ihre Armee aus Geräten. Die Masse der Anfragen war so enorm, dass eine Steuerungs-Domain des Botnets in globalen Traffic-Rankings kurzzeitig sogar Google überholte.

Warum 73% der Unternehmen auf Cyberangriffe nicht vorbereitet sind — und was das für Ihre IT bedeutet. Angesichts von Angriffswellen wie Kimwolf (1,7 Milliarden DDoS‑Befehle) reicht reaktives Handeln nicht aus. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt praxisnah, welche Sofort‑Maßnahmen IT‑Verantwortliche und Geschäftsleitungen jetzt umsetzen sollten: Risikominimierung, einfache Schutzbausteine und Hinweise zu neuen gesetzlichen Vorgaben. Schützen Sie Ihr Unternehmen, bevor die nächste Welle zuschlägt. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Das lukrative Geschäft mit ahnungslosen Nutzern

Kimwolf verfolgt ein klares wirtschaftliches Ziel. Die Malware verwandelt infizierte Geräte in sogenannte “Residential Proxies”. Dabei wird die Internetverbindung der Nutzer an Dritte weitervermietet.

• Kriminelle nutzen diese Proxies, um ihre Identität zu verschleiern.
• Über 96 Prozent der Botnet-Befehle dienten diesem Zweck.
• Betroffene bemerken oft nur eine langsamere Verbindung oder überhitzte Geräte.

Das Einfallstor ist meist das Sideloading von Apps. Nutzer, die Software aus unsicheren Quellen installieren – häufig für kostenlose Streaming-Angebote –, laden sich den Trojaner unwissentlich herunter. Besonders anfällig sind günstige Android-TV-Boxen mit veralteter Software und ohne Google Play Protect.

Ein zähes Katz-und-Maus-Spiel

Nach der Veröffentlichung der Analyse Anfang Dezember gelang es Forschern, einen zentralen Steuerungsserver zu übernehmen. Die Zahl aktiver Bots sank daraufhin drastisch auf etwa 200.000.

Doch die Betreiber zeigten sich anpassungsfähig. Sie begannen, Blockchain-Technologien wie den Ethereum Name Service (ENS) einzusetzen. Diese “EtherHiding”-Technik macht die Adressen neuer Kommando-Server dynamisch und dezentral – eine dauerhafte Abschaltung wird so massiv erschwert.

Eine anhaltende systemische Bedrohung

Experten ziehen Parallelen zum berüchtigten Mirai-Botnet, sehen in Kimwolf aber eine Weiterentwicklung. Die Nutzung von DNS over TLS zur Tarnung der Kommunikation zeigt den hohen technischen Aufwand der Angreifer.

Das Problem ist systemisch: Die Fragmentierung des Android-Marktes führt dazu, dass Millionen günstiger Geräte ohne Sicherheitsupdates im Umlauf sind. Sie bleiben leichte Beute. Geografisch konzentrieren sich die Infektionen zwar auf Länder wie Brasilien, Indien und die USA, doch auch in Europa wurden tausende Knotenpunkte entdeckt.

Die schnelle Adaption der Blockchain-Technologie deutet auf ein langfristiges Spiel hin. Solange unsichere Geräte in Millionen Haushalten stehen, werden Botnets wie Kimwolf eine persistente Gefahr bleiben.

PS: Botnets wie Kimwolf nutzen unsichere Endgeräte und kostengünstige Lücken — oft ohne große technische Ressourcen. Dieses Gratis‑E‑Book zeigt, wie Sie Ihre Organisation mit überschaubarem Aufwand wirksam schützen können: Awareness‑Maßnahmen, einfache technische Kontrollen und Prioritätenlisten für Entscheider. Besonders nützlich für KMU und IT‑Leiter, die ohne Neueinstellungen die Sicherheitsbasis stärken wollen. Gratis-E‑Book „Cyber Security Awareness Trends“ anfordern