Eksperci ds. cyberbezpieczeństwa ostrzegają: Budżetowe urządzenia z Android TV infekowane fabrycznym malware

Eksperci ds. cyberbezpieczeństwa oraz agencje rządowe wydały pilne ostrzeżenie przed tanimi, niecertyfikowanymi przystawkami z systemem Android TV, które powoli stają się częścią globalnych sieci botnet, takich jak Kimwolf czy BadBox 2.0. Zjawisko to dotyka już ponad 12 milionów unikalnych adresów IP miesięcznie, a zainfekowane urządzenia są wykorzystywane do przeprowadzania rekordowych ataków DDoS oraz nielegalnego wynajmu pasma internetowego. Problem jest o tyle poważny, że złośliwe oprogramowanie często trafia do urządzeń już na etapie produkcji, co czyni je niebezpiecznymi zaraz po wyjęciu z pudełka.

Najnowszy raport firmy Synthient z początku 2026 roku szczegółowo opisuje gwałtowny wzrost aktywności botnetu Kimwolf, który przejął kontrolę nad ponad 2 milionami urządzeń opartych na systemie Android, ze szczególnym uwzględnieniem tanich boxów TV. Malware ten wykorzystuje zaawansowane techniki, takie jak protokół DNS-over-TLS oraz blockchainowe rozwiązanie Ethereum Name Service (ENS), aby ukryć swoją infrastrukturę sterującą przed organami ścigania. Przejęte urządzenia nie tylko uczestniczą w atakach typu DDoS, ale są również monetyzowane jako punkty dostępowe w ramach sieci takich jak IPIDEA, co oznacza, że domowe łącze użytkownika może służyć przestępcom do ukrywania ich tożsamości podczas działań hakerskich.

Równolegle, Google w oficjalnym pozwie sądowym oraz FBI w zaktualizowanych alertach PSA wskazują na operację BadBox 2.0, która zainfekowała już ponad 10 milionów urządzeń na całym świecie, w tym popularne w serwisach aukcyjnych modele takie jak T95, X88 Pro czy MXQ Pro. Urządzenia te bazują na otwartej wersji systemu Android (AOSP), która pozbawiona jest mechanizmów ochronnych Google Play Protect. Według badaczy z Human Security, malware jest preinstalowany w oprogramowaniu układowym (firmware) chińskich producentów, co pozwala mu na przemieszczanie się wewnątrz sieci domowej ofiary, skanowanie innych podłączonych gadżetów IoT oraz manipulowanie ustawieniami DNS routerów.

Sytuacja jest dynamiczna, ponieważ operatorzy botnetów wykazują dużą odporność na próby unieszkodliwienia ich serwerów. W odpowiedzi na blokady, grupy takie jak Aisuru (powiązana z Kimwolf) zaczęły implementować podpisy cyfrowe ECC dla komend sterujących, co uniemożliwia badaczom przejęcie kontroli nad „armią zombie”. Dla przeciętnego użytkownika objawy zainfekowania urządzenia są niemal niedostrzegalne – mogą ograniczać się do okresowych spowolnień łącza internetowego, nagłego wzrostu temperatury obudowy urządzenia w stanie spoczynku lub nietypowej aktywności sieciowej w nocy.