Dünyanın dört bir yanındaki enfekte olmuş cihazların dev bir ağı, Aisuru DDoS Botnet‘in Android varyantı olan Kimwolf, geçen Ağustos’tan bu yana 2 milyondan fazla cihaza ulaştı. Bu durum, dolandırıcılık karşıtı istihbarat şirketi Synthient’in son araştırmasında ortaya kondu.
Hackerların, uzaktan kontrol edebilecekleri ve Dağıtılmış Hizmet Reddi (DDoS) saldırıları başlatabilecekleri bir botnet (enfekte cihazlardan oluşan özel bir ordu) oluşturmak amacıyla Android destekli akıllı TV'ler ve ucuz streaming kutuları avladıkları bildirilmektedir. Bu cihazların birleşik gücü, büyük web sitelerini trafiğe boğarak çökertmek için kullanıldı ve Cloudflare'a göre rekor kıran 29.7 Terabit/saniye hızına ulaştı.
Önceden Enfekte Tuzağı
Bu tehdidi özellikle zorlaştıran şey, cihazların ilk etapta nasıl enfekte olduğu. Synthient’in araştırması, bu cihazların çoğunun kapınıza ulaşmadan önce bile tehlikeye girdiğini gösteren rahatsız edici bir eğilim ortaya koydu.
Coğrafi dağılımları ise daha da korkutucu. Araştırma verileri, bu zombi cihazların dünya genelinde büyük bir yoğunlukta bulunduğunu gösteriyor; en fazla kurban Vietnam, Brezilya, Hindistan ve Suudi Arabistan'da tespit edildi. Bu cihazların yaklaşık %67'sinin tamamen korumasız olduğu belirlendi.
Kullanıcı cihazı prize takıp internete bağlandığında, hackerlar birkaç dakika içinde ev ağlarına erişim sağlayabiliyor. Daha da endişe verici olanı, araştırmacılar popüler modellerden birkaçını satın aldıklarında, HiDPTAndroid ve genel TV BOX birimleri etiketli olanların da dahil olduğu cihazlarda, kutudan çıkar çıkmaz kötü amaçlı kodun çalıştığını buldular.
Synthient’in hackerların arka uç izleme araçlarına yaptığı araştırma, bir Grafana örneği, ağın büyümesinin son iki ayda hızla arttığını doğruladı. Araştırmacılar, her hafta yaklaşık 12 milyon benzersiz IP adresinin ağa bağlı olduğunu tespit etti; bu da sistemin büyük bir ev bağlantıları havuzunda döndüğünü gösteriyor.
Amacı Nedir?
Kimwolf aktörlerinin birincil amacı, ev internetlerinin bant genişliğini başkalarına kiralayarak para kazanmaktır; araştırmacılar, blog yazısında bunu açıkladı.
Ayrıca, cihazlarınıza gizlice uygulama yüklemek için Byteconnect SDK adında gizli bir araç kullanarak, her biri için referral ücreti kazanıyorlar ve bunu asla fark etmeden yapıyorlar. Hepsi bu kadar değil! Bir DDoS kiralama hizmeti işletiyorlar ve 2 milyon cihazdan oluşan ordularını büyük bir web sitesini çevrimdışı bırakmak isteyen herkese kiralıyorlar.
IPIDEA sağlayıcısı 28 Aralık 2025’te bir güvenlik düzeltmesi yayınlamayı başarsa da, milyonlarca cihaz hala ağın bir parçası. Eğer isimsiz bir streaming kutusuna sahipseniz ve yavaş ya da garip davranıyorsa, en güvenli seçenek onu kullanmayı bırakmak veya hatta imha etmektir. Kendi bağlantınızın tehlikeye girip girmediğini kontrol etmek için synthient.com/check. adresini ziyaret edebilirsiniz.
