Kimwolf is een botnet dat meer dan 2 miljoen Android-toestellen heeft geïnfecteerd
Kimwolf is al minstens sinds augustus 2025 actief, maar het bestaan ervan kwam pas vorige maand echt aan het licht door een connectie met een ander botnet genaamd AISURU. Verdere analyse heeft nu uitgewezen dat Kimwolf uit meer dan 2 miljoen geïnfecteerde Android-apparaten bestaat, waardoor het een geducht middel is dat cybercriminelen kunnen inschakelen.
Welke toestellen zijn getroffen?
De manier waarop Kimwolf technisch werkt, onthult iets over de toestellen die geïnfecteerd worden. Uiteraard gaat het om apparaten die draaien op Android of een Android-achtig besturingssysteem, zoals smartphones, televisies en set-top boxen, maar het lijkt vooral te gaan om toestellen die een slecht beveiligde Android Debug Bridge (ADB) hebben openstaan.
Die ADB is een functie die ontwikkelaars gebruiken om rechtstreeks met een apparaat te communiceren. Als die poort onbeveiligd is, kunnen aanvallers er makkelijk misbruik van maken om toegang te krijgen, malware te installeren en het toestel in te lijven voor hun botnet.
Een slecht beveiligde ADB komt vaak voor bij goedkope op Android gebaseerde mediaspelers en smart-tv’s die op voorhand geïnstalleerde software bevatten die daardoor door het systeem vertrouwd wordt, maar eigenlijk het hele systeem kwetsbaar maakt. Duurdere toestellen, zoals die van Samsung of Google zelf, zitten doorgaans niet in de risicogroep.
Wat doet het botnet precies?
Een botnet is een netwerk van geïnfecteerde apparaten die zonder medeweten van de eigenaars samenwerken om bepaalde doelen te bereiken. In dit geval is Kimwolf een botnet dat vooral voor het uitvoeren van DDoS-aanvallen erg interessant is. Bij zo’n DDoS-aanval wordt heel gericht een overvloed aan internetverkeer richting een bepaald doel, zoals een bepaalde website of dienst, gestuurd zodat die het onder de druk begeeft en (tijdelijk) offline gaat.
Tegenwoordig bestaan er al redelijk efficiënte methoden om DDoS-aanvallen af te slaan, onder meer via het bekende Cloudflare, maar een botnet als Kimwolf heeft een troef in handen doordat het voornamelijk bestaat uit toestellen bij gewone mensen thuis. Daardoor kan hun reguliere internetverbinding gekaapt worden om aanvallen mee uit te voeren en omdat het verkeer er op het eerste zicht minder verdacht uitziet, is het moeilijker om zo’n DDoS-aanval tegen te houden.
Het gevaar van dergelijke botnets is vaak niet dat ze jou persoonlijk viseren en bijvoorbeeld data stelen, wel dat ze jouw apparaten en internetverbinding zonder jouw medeweten misbruiken om elders schade aan te richten, niet alleen via DDoS-aanvallen maar ook door bijvoorbeeld phishingmails te versturen. Jouw IP-adres is dan hun dekmantel. Wie zich hiertegen wil wapenen, zorgt er dus best voor dat zijn internetverbinding en alle verbonden apparaten goed beveiligd zijn.
