MinhSec
Writer
Một mạng botnet quy mô lớn nhắm vào các thiết bị Android đang nổi lên như một trong những mối đe dọa an ninh mạng nguy hiểm nhất hiện nay. Mạng này có tên Kimwolf, được thiết kế với mức độ tinh vi cao và đã âm thầm xâm nhập vào khoảng 1,8 triệu thiết bị trên toàn thế giới.
Các thiết bị bị ảnh hưởng không chỉ là điện thoại hay máy tính bảng, mà còn bao gồm TV thông minh, đầu thu kỹ thuật số và nhiều hệ thống chạy Android khác. Với quy mô lây nhiễm khổng lồ, Kimwolf có khả năng tạo ra các cuộc tấn công mạng diện rộng mang tính hủy diệt.
Mạng botnet này được các nhà nghiên cứu bảo mật phát hiện lần đầu vào tháng 10 năm 2025, khi một đối tác cộng đồng cung cấp mẫu phần mềm độc hại ban đầu. Đáng chú ý, Kimwolf sử dụng một tên miền điều khiển và kiểm soát từng nằm trong nhóm tên miền phổ biến hàng đầu toàn cầu theo xếp hạng của Cloudflare, khiến việc phát hiện trở nên khó khăn hơn.
Dữ liệu phân tích cho thấy Kimwolf hoạt động tại 222 quốc gia và vùng lãnh thổ. Brazil là quốc gia có tỷ lệ thiết bị nhiễm cao nhất với 14,63%, tiếp theo là Ấn Độ (12,71%) và Hoa Kỳ (9,58%). Các thiết bị bị kiểm soát phân bố rải rác trên nhiều múi giờ khác nhau, gây thách thức lớn cho công tác giám sát và ứng phó.
Phần mềm độc hại này sử dụng giao thức DNS qua TLS (DoT) để che giấu hoạt động liên lạc, giúp vượt qua nhiều hệ thống giám sát mạng truyền thống. Ngoài ra, Kimwolf còn dùng chữ ký số dựa trên đường cong elliptic nhằm xác thực lệnh, đảm bảo chỉ các máy chủ điều khiển hợp pháp mới có thể ra lệnh cho botnet.
Về cơ chế lây nhiễm, Kimwolf hoạt động thông qua một tệp APK, từ đó trích xuất và thực thi một payload nhị phân gốc được ngụy trang như dịch vụ hệ thống hợp pháp. Khi chạy, phần mềm độc hại tạo một socket miền Unix với tên trùng phiên bản để ngăn việc nhiều bản sao hoạt động cùng lúc trên một thiết bị.
Kimwolf giải mã các tên miền điều khiển được nhúng sẵn, sau đó truy vấn DNS công cộng qua cổng 853 để lấy địa chỉ IP máy chủ C2 thực. Toàn bộ quá trình liên lạc đều được mã hóa TLS, sử dụng cấu trúc dữ liệu cố định và các cơ chế kiểm tra nhằm tránh bị phát hiện.
Đặc biệt, từ ngày 19 đến 22 tháng 11, Kimwolf đã phát ra khoảng 1,7 tỷ lệnh tấn công DDoS nhắm vào nhiều mục tiêu khác nhau trên toàn cầu. Botnet này hỗ trợ tới 13 kỹ thuật tấn công, bao gồm UDP flood, TCP SYN flood và tấn công socket SSL, cho phép tin tặc linh hoạt lựa chọn phương thức phù hợp với từng mục tiêu.
Quy mô và mức độ tinh vi của Kimwolf cho thấy các mạng botnet Android đang ngày càng nguy hiểm hơn, không chỉ về số lượng thiết bị bị chiếm quyền kiểm soát mà còn ở khả năng che giấu, xác thực và tấn công có tổ chức trên phạm vi toàn cầu.(cybersecuritynews)
Các thiết bị bị ảnh hưởng không chỉ là điện thoại hay máy tính bảng, mà còn bao gồm TV thông minh, đầu thu kỹ thuật số và nhiều hệ thống chạy Android khác. Với quy mô lây nhiễm khổng lồ, Kimwolf có khả năng tạo ra các cuộc tấn công mạng diện rộng mang tính hủy diệt.
Mạng botnet này được các nhà nghiên cứu bảo mật phát hiện lần đầu vào tháng 10 năm 2025, khi một đối tác cộng đồng cung cấp mẫu phần mềm độc hại ban đầu. Đáng chú ý, Kimwolf sử dụng một tên miền điều khiển và kiểm soát từng nằm trong nhóm tên miền phổ biến hàng đầu toàn cầu theo xếp hạng của Cloudflare, khiến việc phát hiện trở nên khó khăn hơn.
Dữ liệu phân tích cho thấy Kimwolf hoạt động tại 222 quốc gia và vùng lãnh thổ. Brazil là quốc gia có tỷ lệ thiết bị nhiễm cao nhất với 14,63%, tiếp theo là Ấn Độ (12,71%) và Hoa Kỳ (9,58%). Các thiết bị bị kiểm soát phân bố rải rác trên nhiều múi giờ khác nhau, gây thách thức lớn cho công tác giám sát và ứng phó.
Kimwolf hoạt động tinh vi và khả năng tấn công DDoS quy mô lớn
Theo phân tích của các chuyên gia Xlab Qianxin, Kimwolf được biên dịch bằng Android NDK và tích hợp hàng loạt chức năng nguy hiểm như tấn công DDoS, chuyển tiếp proxy, shell đảo ngược và quản lý tập tin từ xa. Không giống nhiều botnet Android thông thường, Kimwolf áp dụng các kỹ thuật né tránh hiện đại hiếm thấy.Phần mềm độc hại này sử dụng giao thức DNS qua TLS (DoT) để che giấu hoạt động liên lạc, giúp vượt qua nhiều hệ thống giám sát mạng truyền thống. Ngoài ra, Kimwolf còn dùng chữ ký số dựa trên đường cong elliptic nhằm xác thực lệnh, đảm bảo chỉ các máy chủ điều khiển hợp pháp mới có thể ra lệnh cho botnet.
Về cơ chế lây nhiễm, Kimwolf hoạt động thông qua một tệp APK, từ đó trích xuất và thực thi một payload nhị phân gốc được ngụy trang như dịch vụ hệ thống hợp pháp. Khi chạy, phần mềm độc hại tạo một socket miền Unix với tên trùng phiên bản để ngăn việc nhiều bản sao hoạt động cùng lúc trên một thiết bị.
Kimwolf giải mã các tên miền điều khiển được nhúng sẵn, sau đó truy vấn DNS công cộng qua cổng 853 để lấy địa chỉ IP máy chủ C2 thực. Toàn bộ quá trình liên lạc đều được mã hóa TLS, sử dụng cấu trúc dữ liệu cố định và các cơ chế kiểm tra nhằm tránh bị phát hiện.
Đặc biệt, từ ngày 19 đến 22 tháng 11, Kimwolf đã phát ra khoảng 1,7 tỷ lệnh tấn công DDoS nhắm vào nhiều mục tiêu khác nhau trên toàn cầu. Botnet này hỗ trợ tới 13 kỹ thuật tấn công, bao gồm UDP flood, TCP SYN flood và tấn công socket SSL, cho phép tin tặc linh hoạt lựa chọn phương thức phù hợp với từng mục tiêu.
Quy mô và mức độ tinh vi của Kimwolf cho thấy các mạng botnet Android đang ngày càng nguy hiểm hơn, không chỉ về số lượng thiết bị bị chiếm quyền kiểm soát mà còn ở khả năng che giấu, xác thực và tấn công có tổ chức trên phạm vi toàn cầu.(cybersecuritynews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
