Se tens uma daquelas caixas de TV Android baratas para ver filmes ou séries, é possível que ela esteja a trabalhar para o inimigo sem saberes. Investigadores de cibersegurança da QiAnXin XLab descobriram uma nova e gigantesca botnet (uma rede de dispositivos infetados controlados remotamente) chamada Kimwolf, que já conseguiu capturar cerca de 1,8 milhões de dispositivos em todo o mundo.
O que torna esta ameaça particularmente preocupante não é apenas o seu tamanho, mas a sua resiliência e a sua ligação a um dos grupos de hackers mais perigosos e destrutivos da atualidade.
O ataque às caixas de TV e tablets
O Kimwolf é um malware baseado em Android que tem como alvo principal dispositivos que muitas vezes ignoramos em termos de segurança: TVs, set-top boxes e tablets. A maioria das vítimas encontra-se em ambientes domésticos, usando dispositivos de marcas genéricas ou de baixo custo (como “TV BOX”, “MX10”, “X96Q” e outras variantes populares).
Os países mais afetados incluem o Brasil, a Índia e os Estados Unidos, mostrando o alcance global desta infeção. Embora o método exato de entrada ainda não seja conhecido, a prevalência em caixas de TV sugere vulnerabilidades em firmware desatualizado ou aplicações de streaming de terceiros.
A ligação ao “monstro” AISURU
A descoberta mais alarmante é que o Kimwolf não opera sozinho. A análise do código e da infraestrutura revelou uma sobreposição significativa com a AISURU, uma botnet que tem feito manchetes por quebrar recordes de ataques DDoS (Negação de Serviço Distribuído).
A AISURU foi responsável recentemente por um ataque que atingiu um pico de 29.7 Tbps (terabits por segundo), bombardeando alvos com 14.1 mil milhões de pacotes por segundo. Os investigadores concluíram que o Kimwolf e a AISURU pertencem ao mesmo grupo de hackers, partilhando scripts de infeção e infraestrutura. Isto significa que a capacidade destrutiva do Kimwolf pode ser imensa.
Impossível de matar? O uso de Ethereum (ENS)
O Kimwolf demonstrou uma capacidade de sobrevivência notável. Os seus domínios de comando e controlo (C2) foram derrubados pelo menos três vezes em dezembro, mas a botnet voltou sempre mais forte.
Para se proteger, os hackers começaram a utilizar o ENS (Ethereum Name Service). Esta tecnologia baseada em blockchain descentralizada torna a infraestrutura da botnet muito mais difícil de censurar ou desligar pelas autoridades, demonstrando uma evolução tática sofisticada por parte dos criminosos.
Este caso serve como um aviso sério: os dispositivos “inteligentes” baratos e sem suporte de segurança são o combustível perfeito para os exércitos cibernéticos modernos.
Outros artigos interessantes:
