Das Kimwolf-Botnet hat weltweit über 2 Millionen Geräte infiziert, hauptsächlich günstige Android-TV-Boxen und digitale Bilderrahmen. Durch eine kritische Sicherheitslücke in Proxy-Diensten können Angreifer in heimische Netzwerke eindringen und Malware verbreiten.
Ein neues Botnet namens Kimwolf breitet sich rasant aus und bedroht die Sicherheit privater Netzwerke weltweit. Das Ausmaß des Problems ist erheblich: Das Sicherheitsunternehmen Synthient hat über 2 Millionen infizierte Geräte identifiziert, wobei sich die Infektionen auf Vietnam, Brasilien, Indien, Saudi-Arabien, Russland und die USA konzentrieren. Etwa zwei Drittel der Kimwolf-Opfer sind Android-TV-Boxen ohne eingebaute Sicherheitsmechanismen.
Das Kimwolf-Malware zwingt infizierte Systeme, bösartige Internetverkehr weiterzuleiten – etwa Werbebetrug, Kontotierwöhltäter und Datenraub – und beteiligt sich an verheerenden DDoS-Attacken. Besonders beunruhigend ist jedoch die Ausbreitungsmethode: Das Botnet tunnelt sich durch sogenannte Residential-Proxy-Netzwerke zurück in die privaten Heimnetzwerke hinter den Firewalls ahnungsloser Nutzer.
Die problematischen Android-TV-Boxen werden üblicherweise über große E-Commerce-Plattformen wie Amazon, Best Buy und Walmart verkauft. Sie kosten zwischen 40 und 400 Dollar, tragen obskure Markennamen und werden oft mit dem Versprechen vermarktet, Streaming-Inhalte kostenlos verfügbar zu machen. Die versteckte Realität: Viele dieser Geräte sind entweder werksseitig mit Malware infiziert oder erfordern die Installation von inoffiziellen App-Stores, um überhaupt zu funktionieren. Diese Apps verwandeln das Gerät häufig in einen Proxy-Knoten, der dann weitergeleitet wird.
Benjamin Brundage, ein 22-jähriger Student des Rochester Institute of Technology und Gründer des Sicherheitsunternehmens Synthient, hat die Mechanik dieser Bedrohung gründlich analysiert. Seine Forschungen zeigen, dass Kimwolf eine kritische Sicherheitslücke in Residential-Proxy-Diensten ausnutzt. Diese Services versuchen zwar normalerweise, Zugriffe auf private Netzwerkadressen (RFC-1918-Ranges wie 192.168.0.0/16) zu blockieren, doch Kimwolf-Betreiber haben herausgefunden, wie man dies durch DNS-Manipulation umgeht.
Brundage entdeckte zudem ein noch schwerwiegenderes Problem: Die meisten inoffiziellen Android-TV-Boxen werden mit aktiviertem Android Debug Bridge (ADB) ausgeliefert. Dieses eigentlich nur für Entwicklung und Tests gedachte Tool ermöglicht unauthentifizierten Remote-Zugriff. Ein einfacher Befehl – etwa “adb connect [IP]:5555” – gewährt Super-User-Zugriff ohne jede Authentifizierung.
Brundages Analyse führte ihn direkt zu IPIDEA, dem weltweit größten Residential-Proxy-Netzwerk. Im frühen Dezember 2025 identifizierte er eine eins-zu-eins-Übereinstimmung zwischen Kimwolf-Infektionen und IPIDEA-Proxy-Adressen. Innerhalb weniger Tage verdoppelte sich die Kimwolf-Größe durch die Ausnutzung von IPIDEA-Infrastruktur. IPIDEA bewirbt Zugang zu über 100 Millionen Proxy-Endpunkten weltweit – und über zwei Drittel dieser Systeme sind ungeschützte Android-Geräte.
Brundage handelte verantwortungsvoll: Im Dezember benachrichtigte er elf betroffene Proxy-Provider, bevor er seine Erkenntnisse öffentlich machte. IPIDEA reagierte am 31. Dezember mit detaillierten Sicherheitsverbesserungen. Ein IPIDEA-Sicherheitsbeamter namens Byron beschrieb, wie das Unternehmen eine “Legacy-Testmodul” deaktivierte, die internen Netzwerkzugriff ermöglichte, und zusätzliche DNS-Blockierungen sowie Portbeschränkungen implementierte. Der große Proxy-Anbieter Oxylabs bestätigte ebenfalls, entsprechende Patches eingespielt zu haben.
Riley Kilmer von Spur.us, einem Unternehmen das Proxy-Traffic identifiziert, bestätigte Brundages Erkenntnisse unabhängig und wies auf die Beliebtheit des Superbox-Modells hin – eine besonders anfällige TV-Box, die bei Walmart erhältlich ist. Sowohl Brundage als auch Kilmer vermuten, dass IPIDEA eine Weiterentwicklung des ehemaligen 911S5-Proxy-Dienstes ist, der zwischen 2014 und 2022 in Cybercrime-Foren äußerst populär war. 911S5 kollabierte 2022 nach kritischer Berichterstattung und wurde später von den US-Behörden sanktioniert.
Die Bedrohung durch Kimwolf illustriert ein düsteres Szenario: Ein Gast mit einem infiziertem Smartphone verbindet sich mit deinem Wi-Fi, installiert unwissentlich ein Proxy-App – und plötzlich bietet die Heimat-IP-Adresse bei einem Proxy-Service verfügbar. Kimwolf-Betreiber tunneln sich dann durch diesen Proxy zurück in dein lokales Netzwerk, scannen nach verwundbaren Geräten und infizieren deine digitalen Bilderrahmen und TV-Boxen. Ein weiteres Albtraum-Szenario: Angreifer modifizieren die Routerkonfiguration, um DNS-Server zu nutzen, die von ihnen kontrolliert werden – ähnlich dem DNSChanger-Malware von 2012, die über 500.000 Router infizierte.
XLab, eine chinesische Sicherheitsfirma, verfolgt Kimwolf seit Oktober 24 und hat zwischen 1,8 und 2 Millionen infizierte Geräte katalogisiert. Eine bemerkenswerte Entdeckung: Der Kimwolf-Autor hinterlässt “Easter Eggs” im Code – Verweise auf KrebsOnSecurity – was auf eine persönliche Fixation hindeutet.
Für durchschnittliche Nutzer ist es extrem schwierig zu erkennen, ob infizierte Geräte im eigenen Netzwerk aktiv sind. Selbst mit Kenntnissen ist es eine Herausforderung, bösartige Apps zu identifizieren und zu entfernen, die ein Smartphone in einen Proxy verwandeln. Synthient hat jedoch eine hilfreiche Website eingerichtet, auf der man prüfen kann, ob die eigene IP-Adresse in Kimwolf-Botnetzen auftauchte. Brundage hat auch eine Liste der problematischsten Android-TV-Box-Modelle zusammengestellt.
Experten empfehlen: Vermeide diese billigen inoffiziellen TV-Boxen konsequent. Wenn du sie bei Familie oder Freunden siehst, fordere sie auf, sie auszubauen. Chad Seaman, ein Sicherheitsforscher bei Akamai, appelliert an Verbraucher, sich dieser Geräte zu “paranoid” zu nähern und zu verstehen, dass private Netzwerke längst nicht mehr sicher sind, wenn jemand damit infizierte Apps darauf ausführt.
Googles 2025er Klage gegen das “BadBox 2.0 Enterprise”-Botnet mit über 10 Millionen infizierten Geräten zeigt das Ausmaß des Problems. Das FBI warnte im Juni 2025, dass Cyberkriminelle Heimnetzwerke durch werksseitig infizierte oder während der Einrichtung malware-behaftete Apps kompromittieren. HUMAN Security – das an BadBox-Ermittlungen beteiligt war – bestätigt, dass diese Botnets massiven Werbebetrug, Ticketing-Betrügereien, Kontotierwöhltäter und Datenraub ermöglichen.
Lindsay Kaye vom HUMAN Security rät: Kaufe nur bekannte Marken beim Kauf von Internet-verbundenen Geräten. Nichts, das “kostenlos” oder “fast umsonst” angeboten wird, ist das finanzielle Risiko wert. Ein praktischer Tipp: Nutze separates Guest-Wi-Fi für Besucher – das blockiert Zugriff auf deine Geräte, während Gäste normal surfen können.
Es gibt eine kleine, aber lautstarke Pro-Piraterie-Fraktion, die die Sicherheitsrisiken dieser unsanktioniert TV-Boxen herunterspielt und argumentiert, dass Fachleute diese Geräte flashen können. Doch die überwiegende Mehrheit der Käufer sind keine Sicherheitsexperten; sie kaufen diese Boxen wegen des versprochenen kostenlosen Inhalts. Das Sicherheitsmodell, bei dem Nutzer dachten, ihr privates Heimnetzwerk sei automatisch sicher, ist längst überholt.
Quelle: Krebs on Security