Pesquisadores da Synthient revelaram que a botnet Kimwolf já comprometeu mais de dois milhões de dispositivos ao redor do mundo, explorando principalmente boxes de TV e molduras digitais Android conectados a redes Wi‑Fi domésticas. O Brasil está entre os países mais afetados, ao lado de Vietnã, Índia, Arábia Saudita, Rússia e Estados Unidos, em uma campanha que combina malware pré‑instalado, ADB exposto e uso abusivo de redes proxy residenciais como a IPIDEA.
Como o Kimwolf invade a rede doméstica
O Kimwolf tem como alvo principal decodificadores e dispositivos multimídia Android de baixo custo, muitos vendidos em grandes marketplaces sob marcas pouco conhecidas e, em alguns casos, já com código malicioso pré‑instalado de fábrica. Em outros cenários, a infecção ocorre quando o usuário instala aplicativos de terceiros prometendo liberar acesso “gratuito” a conteúdo de vídeo, mas que, na prática, transformam o equipamento em um nó da botnet.
Uma vez ativo, o malware converte o dispositivo em um proxy alugado a criminosos, que passam a usar aquele IP residencial para mascarar tráfego malicioso, contornar bloqueios geográficos e escanear outros equipamentos na mesma rede. Microcomputadores baratos com Android Debug Bridge (ADB) habilitado por padrão e sem autenticação criam um efeito dominó: basta um único telefone ou TV box infectado na rede para que o Kimwolf tente acessar, via ADB, molduras digitais, players e outros nós vulneráveis conectados ao mesmo Wi‑Fi.
Papel das redes proxy residenciais e resiliência do botnet
A Synthient destacou a forte ligação entre o Kimwolf e a infraestrutura da rede proxy IPIDEA, usada para espalhar a botnet e manter sua população de dispositivos mesmo após tentativas de derrubada. Segundo a empresa, mesmo quando partes da infraestrutura são desativadas, o Kimwolf consegue repovoar a rede, voltando a atingir a faixa de dois milhões de dispositivos comprometidos em poucos dias.
A IPIDEA afirmou ter corrigido vulnerabilidades, incluindo o fechamento de um módulo de teste que permitia contornar filtros e atingir redes internas, mas pesquisadores alertam que o modelo de negócio de proxies residenciais permanece um vetor crítico. Paralelamente, pesquisa da XLab identificou a presença do Kimwolf em mais de 2,7 milhões de endereços IP durante um período de sinkhole, reforçando que a real quantidade de dispositivos infectados é difícil de medir devido ao churn de IP em redes domésticas.
O que a botnet faz com os dispositivos sequestrados
Além de servir como plataforma para venda de largura de banda em proxies residenciais, o Kimwolf oferece a seus operadores capacidades de DDoS em grande escala, túnel de tráfego e controle remoto completo dos dispositivos. A arquitetura do malware permite mascarar o tráfego que entra e sai dos equipamentos infectados e redirecioná‑lo para endereços internos da rede, quebrando o isolamento esperado entre “internet” e dispositivos domésticos.
Segundo os pesquisadores, isso abre espaço não só para o recrutamento de novos dispositivos IoT, mas também para a tomada de controle de roteadores, alteração de DNS e redirecionamento completo do tráfego do usuário para sites de phishing, malvertising ou infraestrutura criminosa. Em janelas de observação de apenas alguns dias, foram registrados volumes massivos de comandos de DDoS e de uso de proxy, indicando que a botnet é explorada tanto para ataques quanto para monetização de tráfego.
Dispositivos “baratos” como porta de entrada global
Um dos pontos mais preocupantes é que muitos compradores desconhecem o risco embutido nesses dispositivos Android de baixo custo, vendidos como solução simples para streaming ou “conteúdo liberado”. Muitas dessas TVs boxes e molduras digitais não têm certificação, não recebem atualizações de segurança e chegam ao consumidor já comprometidas ou com configurações perigosas, como ADB aberto.
Casos anteriores, como a rede BadBox 2.0 — alvo de ação judicial do Google — e alertas do FBI em 2025 sobre infecções em massa, mostram que esse modelo de comprometimento “na fábrica” ou durante a configuração inicial está se tornando padrão em determinadas cadeias de suprimento de dispositivos IoT. Assim, mesmo boas práticas básicas no uso doméstico nem sempre são suficientes para mitigar um hardware que já chega vulnerável.
Medidas de proteção recomendadas
Entre as recomendações, especialistas sugerem isolar ao máximo esse tipo de dispositivo, usando redes Wi‑Fi de convidados separadas da rede principal usada por computadores e smartphones. Também é essencial evitar a instalação de aplicativos fora de lojas oficiais, preferir equipamentos de fabricantes reconhecidos, desabilitar ADB e outros serviços remotos sempre que possível e, quando houver suspeita ou confirmação de modelo listado como comprometido, considerar a remoção física do aparelho da rede como medida mínima.
A Synthient publicou no GitHub uma lista de modelos de dispositivos mais frequentemente observados como parte da botnet Kimwolf, para auxiliar consumidores e empresas a identificar equipamentos potencialmente comprometidos. Segundo a empresa, diante da escala da botnet e do papel desses dispositivos como “porta dos fundos” para redes domésticas, tratar hardware suspeito como descartável já não é exagero, mas uma estratégia de contenção necessária.






