O Brasil aparece como o país mais afetado por um vírus que já chega instalado em aparelhos TV Box com sistema Android, segundo levantamento da empresa de cibersegurança Synthient. A ameaça faz parte da botnet Kimwolf, identificada no fim de 2025, e já comprometeu mais de 2 milhões de dispositivos em escala global.
De acordo com os especialistas, a Kimwolf está ligada à botnet Aisuru, responsável por infectar mais de 1,8 milhão de aparelhos e executar cerca de 1,7 bilhão de comandos de ataques de negação de serviço distribuído (DDoS), conforme dados da XLab. A investigação avançou após a análise de um domínio de comando e controle (C2), que apresentou crescimento acelerado no tráfego global.
Em outubro, a Synthient obteve acesso a uma amostra desse domínio, que chegou a figurar acima do Google nos rankings da Cloudflare. A botnet recebeu o nome Kimwolf por utilizar a biblioteca de criptografia wolfSSL em sua estrutura de comunicação.
A principal mira do ataque são aparelhos TV Box Android, muitos deles vendidos de forma clandestina. O malware é compilado em NDK e conta com funcionalidades como ataques DDoS, encaminhamento de proxy, execução remota de comandos (reverse shell) e gerenciamento de arquivos. Para driblar mecanismos de segurança, a comunicação é criptografada e utiliza DNS sobre TLS, além de autenticação com assinaturas digitais de curva elíptica.
As versões mais recentes da Kimwolf incorporaram a técnica conhecida como EtherHiding, que utiliza domínios baseados em blockchain para dificultar ações de derrubada da infraestrutura. Em apenas três dias de observação, os pesquisadores identificaram cerca de 2,7 milhões de endereços IP interagindo com a botnet, indicando uma disseminação ampla e global.
O crescimento acelerado da rede criminosa nos últimos dois meses foi impulsionado pela exploração de redes residenciais. Parte significativa das infecções está associada à empresa chinesa IPIDEA, com indícios de que diversos TV Box já são comercializados infectados e passam a integrar a botnet minutos após a conexão à internet. Além do Brasil, Índia, Arábia Saudita e Vietnã concentram grande número de casos.
Segundo a Synthient, os cibercriminosos também lucram com a venda da instalação de SDKs, como o ByteConnect, a revenda de banda larga dos dispositivos comprometidos e o uso da infraestrutura para preenchimento automatizado de credenciais. A empresa recomenda que provedores bloqueiem portas consideradas vulneráveis e orienta os usuários a verificarem seus aparelhos, indicando a remoção ou até o descarte dos dispositivos infectados.
