Près de deux millions d’appareils Android sont tombés sous la coupe d’un redoutable botnet, baptisé Kimwolf. Le malware vise les téléviseurs, les boîtiers TV et les tablettes Android à bas prix. Grâce aux terminaux sous son contrôle, le botnet peut lancer des attaques DDoS dévastatrices.
Un nouveau botnet a été repéré sur des appareils Android. Identifié par les chercheurs de QiAnXin XLab, le botnet Kimwolf pirate essentiellement des téléviseurs, des décodeurs et des tablettes. Selon l’enquête menée par les experts en cybersécurité, plus de 1,8 million d’appareils Android sont tombés sous la coupe du botnet. Le malware est apparu en 2016.
À lire aussi : Amazon neutralise une cyberattaque russe « menée depuis plusieurs années »
Les boitiers TV à prix réduit
Les victimes du botnet se trouvent surtout au Brésil, en Inde, aux États-Unis, en Argentine, en Afrique du Sud et aux Philippines. La plupart des équipements infectés sont connectés à des box Internet appartenant à des particuliers, pas à des réseaux d’entreprise. Le virus vise surtout les appareils des consommateurs lambda. Parmi les cibles privilégiées de Kimwolf, on trouve des boîtiers Android à prix cassé, généralement achetés en ligne. Les chercheurs pointent du doigt des références comme TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV, ou encore MX10.
Trop souvent, les boitiers Android low cost sont dépourvus de mises à jour de sécurité et fonctionnent souvent sur des versions Android obsolètes, ce qui ouvre la porte aux cybercriminels. Par ailleurs, ces boitiers ne sont pas protégés par le Play Protect de Google. Le géant américain n’a donc pas la moindre prise sur la sécurité des boitiers TV.
À ce stade des investigations, les chercheurs n’ont pas pu déterminer comment le logiciel malveillant prend le contrôle d’un appareil. On ignore si les pirates se servent d’une faille de sécurité, d’une application Android vérolée ou encore d’un mauvais mot de passe pour s’emparer des tablettes, boitiers et décodeurs.
« Ces appareils souffrent généralement de problèmes tels que des vulnérabilités du micrologiciel, des composants malveillants préinstallés, des mots de passe faibles et l’absence de mécanismes de mise à jour de sécurité, ce qui les rend extrêmement faciles à contrôler à long terme et à utiliser pour des cyberattaques de grande envergure », explique QiAnXin XLab.
Un « potentiel destructeur » à ne pas sous-estimer
Une fois compromis par Kimwolf, les appareils servent à déployer des attaques par déni de service distribué (DDoS). En exploitant le réseau d’appareils, les pirates peuvent surcharger les serveurs de requêtes jusqu’à causer une interruption de service. Un réseau « d’appareils zombies de cette ampleur est capable de lancer des cyberattaques massives, et son potentiel destructeur ne doit pas être négligé », explique QiAnXin XLab. Les chercheurs estiment que « la capacité d’attaque de Kimwolf avoisine les 30 Tbps », ce qui est au-delà du record mondial de 29,7 Tbps.
Les experts ont remarqué que Kimwolf est proche d’Aisuru, un autre redoutable botnet. Des similitudes dans l’infrastructure et le code source du logiciel malveillant ont été découvertes. Par ailleurs, « ces deux importants réseaux de bots se sont propagés entre septembre et novembre grâce aux mêmes scripts d’infection, coexistant sur le même lot d’appareils ». Le botnet Aisuru, constitué de routeurs et de caméras de surveillance domestiques compromis, appartient à la famille des botnets « Turbo Mirai ». Directement inspirée du célèbre botnet Mirai apparu il y a plus de dix ans, cette lignée de malwares cible en priorité les objets connectés.
À lire aussi : Ce botnet est responsable de la pire attaque DDoS de l’histoire d’Internet
Un botnet revenu plusieurs fois d’entre les morts
Comme l’explique QiAnXin XLab dans son rapport, le botnet a été plusieurs fois démantelé. L’infrastructure a été neutralisée « avec succès par des parties inconnues au moins trois fois » au cours du mois de décembre 2025. Le botnet est systématiquement revenu plus fort qu’auparavant, avec une infrastructure plus résiliente.
Pour éviter de tomber sous la coupe d’un botnet, il vaut mieux privilégier des marques reconnues, dont les produits affichent la certification Play Protect, le service de sécurité de Google pour les appareils Android. Cette exigence limite fortement les risques, notamment de virus préinstallés, ou d’un système d’exploitation obsolète et à la merci des cybercriminels.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
QiAnXin XLab