Kimwolf adı verilen yeni ve tehlikeli bir kötü amaçlı yazılım, dünya çapında 2 milyondan fazla cihaza sessizce bulaştı ve onları, sahiplerinin haberi olmadan yasadışı proxy sunucuları gibi davranmaya zorladı.
Botnet endişe verici bir hızla büyüdü ve şu anda çevrimiçi dolandırıcılık gerçekleştirmek, güçlü siber saldırılar başlatmak ve milyonlarca kullanıcıdan bilgi çalmak için kullanılıyor.
Güvenlik araştırmacıları bu endişe verici eğilimi 2025’in sonlarında keşfettiler ve popüler proxy ağlarının sistemlerini koruma biçimindeki bir boşluktan yararlanan karmaşık bir saldırı yöntemini ortaya çıkardılar.
Enfeksiyon, birçoğu tehlikeli güvenlik ayarları zaten açık olan fabrikalardan gelen, çevrimiçi olarak satılan ucuz Android TV kutularını ve dijital fotoğraf çerçevelerini hedef alıyor.
.webp)
22 yaşındaki siber güvenlik araştırmacısı ve Synthient’in kurucusu Benjamin Brundage, Ekim 2025’te Rochester Teknoloji Enstitüsü’nde final sınavlarına çalışırken Kimwolf’u araştırmaya başladı.
Araştırması rahatsız edici bir modeli ortaya çıkardı: Kötü amaçlı yazılım, dünyanın en büyük konut proxy hizmetlerinin çalışma biçimindeki bir zayıflık yoluyla yayılıyordu.
Brundage, saldırganların, virüs bulaşmış proxy cihazları aracılığıyla özel ev ağlarına erişmek için DNS ayarlarını değiştirerek güvenlik kurallarını atlayabileceklerini keşfetti.
IPIDEA adı verilen en büyük proxy ağının, suçluların herhangi bir kimlik doğrulama engeli olmadan insanların ev ağlarına tünel açmasına ve bağlı cihazlara kötü amaçlı yazılım yerleştirmesine olanak tanıyan ciddi bir güvenlik açığı bıraktığını buldu.
KrebsOnSecurity analisti ve araştırmacısı Brian Krebs, araştırmacının birden fazla proxy sağlayıcısını güvenlik açığı konusunda uyarmasının ardından Brundage’in kritik bulgularına dikkat çekti.
Saldırı akışı
Krebs’in haberi, araştırmanın iki yönlü güvenlik kabusunu nasıl ortaya çıkardığını vurguladı: Birincisi, birçok resmi olmayan TV kutusu, fabrikadan önceden yüklenmiş kötü amaçlı yazılımlarla birlikte geliyor ve ikincisi, bu cihazlar, aynı ağdaki herkesin basit bir komutla bunların tam kontrolünü ele geçirmesine olanak tanıyan, açık kalan Android Hata Ayıklama Köprüsü adı verilen güçlü bir özelliğe sahip.
Saldırı, ucuz akış cihazlarındaki zayıf güvenlik ve savunmasız proxy ağlarının birleşimi yoluyla yayılıyor.
Saldırganlar, Android Hata Ayıklama Köprüsü modunun etkin olduğu cihazları tarayarak virüslü proxy uç noktalarını belirler ve ardından basit bir teknik kullanır: “adb connect” yazan bir komut verirler. [device-ip]:5555” süper kullanıcı erişimi elde etmek için.
.webp)
İçeri girdikten sonra, sistemleri belirli bir web adresini ziyaret etmeye ve kötü amaçlı indirmenin kilidini açmak için “krebsfiveheadindustries” parolasını kullanmaya yönlendirerek kötü amaçlı yazılım yükünü bırakırlar.
Synthient verileri, virüs bulaşan cihazların üçte ikisinin Android TV kutuları olduğunu, geri kalan enfeksiyonların dijital fotoğraf çerçeveleri ve gizli proxy uygulamaları çalıştıran cep telefonları üzerinden yayıldığını gösteriyor.
Kötü amaçlı yazılım, bu cihazları spam mesajları iletmeye, reklam dolandırıcılığı yapmaya, hesapları ele geçirmeye teşebbüs etmeye ve büyük web sitelerini uzun süre çevrimdışı duruma getirebilecek dağıtılmış hizmet reddi saldırılarına katılmaya zorlar.
Kimwolf’un kalıcılık yöntemlerinin keşfi, botnet’in kesintilerden sonra kendini nasıl yeniden inşa ettiğini ortaya koyuyor.
Brundage, IPIDEA’nın yeni proxy uç noktaları tedariki yoluyla tünel açarak yalnızca birkaç gün içinde neredeyse sıfır virüslü sistemden 2 milyon güvenliği ihlal edilmiş cihaza geri dönerek ağın, kaldırma çabasından kurtulduğunu gözlemledi.
Bu hızlı kurtarma yeteneği, IPIDEA’nın 100 milyondan fazla mevcut konut proxy adresinden oluşan devasa havuzundan gelmektedir. Kötü amaçlı yazılım operatörleri botnet’lerinden birden fazla kanal aracılığıyla para kazanıyor: uygulama yükleme hizmetleri satıyor, proxy bant genişliğini kiralıyor ve diğer suçlulara DDoS saldırı yetenekleri sunuyor.
Güvenlik araştırmacıları, daha fazla suç grubunun bu zayıflıkları keşfetmesi ve yerleşik proxy ağlarının büyük ölçekli cihaz güvenliğinin ihlali ve ağ ihlali girişimleri için ana hedefler haline gelmesiyle bu saldırı modelinin yayılmasını bekliyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
