„Kimwolf“-Botnetz infiziert 1,8 Millionen Android-Geräte: Größtes bekannte Android-Botnetz nutzt manipulierte APKs, Reverse-Shells und unzertifizierte Geräte
Sicherheitsforscher berichten von einem neuen Botnetz, das unter dem Namen Kimwolf bereits rund 1,8 Millionen Android-Geräte weltweit kompromittiert hat. Damit übertrifft es sogar den bisherigen Spitzenreiter Aisuru. Die Schadsoftware verbreitet sich über manipulierte APK-Dateien, die auf inoffiziellen Webseiten angeboten werden. Betroffen sind vor allem Smartphones, Tablets und TV-Boxen ohne Google-Zertifizierung. Besonders kritisch ist die eingebaute Reverse-Shell-Funktion, die Angreifern direkten Zugriff auf die Systeme ermöglicht. So können sie DDoS-Angriffe starten, weitere Schadprogramme installieren oder die Geräte als Proxy-Netzwerk missbrauchen. Die meisten Infektionen wurden in Brasilien, Indien und den USA entdeckt, doch insgesamt sind über 220 Länder betroffen.
Die Technik hinter Kimwolf basiert auf dem Code von Aisuru, wurde jedoch weiterentwickelt, um schwerer erkannt zu werden. Die Infektion erfolgt über drei Hauptwege: manipulierte APKs, die sich als Spiele oder Streaming-Apps tarnen, eine Reverse-Shell für vollständigen Zugriff und die Nutzung der Geräte als Proxy, um kriminelle Aktivitäten zu verschleiern. Beispiele für getarnte Apps sind gefälschte Premium-Versionen von Netflix oder modifizierte Varianten von Fortnite.
Besonders anfällig sind Geräte ohne Google-Zertifizierung. Dazu zählen günstige TV-Boxen von unbekannten Herstellern, billige Tablets aus Fernost oder ältere Smartphones mit Custom-ROMs. Diese Systeme besitzen weder Play Protect noch regelmäßige Sicherheitsupdates. Zudem ist Sideloading oft standardmäßig aktiviert, sodass Nutzer leicht APKs aus unsicheren Quellen installieren. In Brasilien liegt der Anteil der Infektionen bei etwa 25 Prozent, in Indien bei 20 Prozent und in den USA bei 15 Prozent.
Nutzer können eine Infektion an verschiedenen Symptomen erkennen. Dazu gehören langsame Performance, stark erhöhter Datenverbrauch, schneller Akkuverlust oder plötzlich installierte unbekannte Apps. In manchen Fällen reagiert das Gerät gar nicht mehr, weil Angreifer über die Reverse-Shell aktiv sind. Sicherheitslösungen wie Malwarebytes oder Bitdefender Mobile Security können helfen, die Bedrohung zu erkennen. Auf zertifizierten Geräten bietet auch Google Play Protect Schutz.
Um sich zu schützen, sollten Anwender nur zertifizierte Geräte kaufen, keine APKs aus unsicheren Quellen installieren und regelmäßig Updates einspielen. Starke Passwörter und zusätzliche Sicherheitsmaßnahmen wie VPN oder Firewall erhöhen die Sicherheit. Wer bereits betroffen ist, sollte das Gerät sofort offline nehmen, einen vollständigen Scan durchführen und im Zweifel einen Factory Reset ausführen. Dabei dürfen keine alten Backups eingespielt werden, da diese die Malware erneut einschleusen könnten. Bank- und Zahlungsdaten sollten ebenfalls überprüft werden.
Die Hintermänner von Kimwolf sind bislang unbekannt. Experten vermuten organisierte Hackergruppen mit russischem Hintergrund. Finanzielle Motive wie die Vermietung des Botnetzes, Krypto-Mining oder der Verkauf gestohlener Daten gelten als wahrscheinlich. Ermittlungen von FBI und Interpol laufen, einige Command-and-Control-Server wurden bereits identifiziert. Google hat erste Domains blockiert, die mit der Infrastruktur in Verbindung stehen.
Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!
