احتمالاً فکر میکنی اینترنت خونهت امنه و پشت مودم، همهچی آرومه؛ ولی واقعیت اینه که توی این روزها، این تصورت کاملاً قدیمی شده! یه باتنت خیلی قوی و عجیب به اسم “کیمولف” اومده وسط و داره مثل سایه رو شبکههای داخلی مردم میچرخه و طبق آمار شرکت امنیتی Synthient، تا الان بیش از دو میلیون دستگاه رو آلوده کرده —اونم همه جای دنیا، مخصوصاً کشورهایی مثل ویتنام، برزیل، هند، عربستان، روسیه و آمریکا.
داستان چیه؟
کیمولف یه نوع بدافزار (malware یعنی نرمافزار مخرب که بیسر و صدا کارای بدی میکنه) هست که با آلوده کردن دستگاهت، اونا رو تبدیل میکنه به پایگاه انتقال اینترنت برای کارای ناجور مثل تقلب تبلیغاتی، هک حساب کاربری، جمعآوری محتوای سایتها (scraping) و البته حملات سنگین DDoS که حتی میتونن یه سایت رو برای چند روز کامل آفلاین کنن.
اما نکتهای که کیمولف رو متمایز میکنه، روش فوقالعاده حرفهایش برای گسترشه: این بدافزار خودش رو از طریق “residential proxy network”ها پخش میکنه. یعنی شبکههایی که به مردم اجازه میدن ترافیک اینترنتشون رو از خونههای افراد دیگه رد کنن تا ردپاشون معلوم نشه یا مثلاً لوکیشنشون عوض شه. عمده این شبکهها بر پایه دستگاههایی هستن که به ترافیک ناشناس اجازه عبور میدن و این یعنی کیمولف میتونه وارد شبکه داخلی (LAN) همین دستگاهها بشه، که مردم فکر میکنن پشت فایروال خونگیشون در امن و امانن!
از کجا میاد؟
منبع اصلی آلودگیها، جعبههای Android TV تقلبی و بدون برند معتبر هست که توی سایتهایی مثل آمازون، والمارت، نیواِگ، بستبای و… پیدا میشن و از ۴۰ تا ۴۰۰ دلار قیمت دارن. خیلی وقتا با تبلیغ اینکه میتونی سریال و فیلم پولی رو رایگان ببینی، آدمها رو وسوسه میکنن. اما غافل از اینکه تو دل این جعبهها، یا حتی قاب عکس دیجیتالهایی (photo frame های مبتنیبر اندروید) که تو فروشگاهها فراوانن، بدافزار کیمولف یا برنامههایی نصب شده که عملاً دستگاه رو تبدیل به ابزار نفوذ میکنه.
مثلاً خیلی از این جعبهها از همون روز اول، با اپلیکیشنهای غیررسمی و بدافزار ارائه میشن یا واسه استفاده کامل ازشون باید وارد “فروشگاه نرمافزاری غیررسمی اندروید” بشی و چیزایی که هیچکس بررسیشون نکرده رو نصب کنی! این برنامهها دستگاهتو یه “node” واسه پراکسی رزیدنشیال میکنن—that is، هر کسی از اینترنت تو به طور مخفیانه استفاده میکنه.
مشکل امنیتی دوم، سختافزارهای ارزان و بینامونشونه که اصلاً توجهی به امنیت یا رمزنگاری وجود نداره. یعنی اگه توی یه شبکه، چند تا از این جعبهها یا قاب عکسها باشن، یه هکر میتونه با یک دستور ساده و بدون رمز همشونو آلوده کنه!
بخش جالب این حملهها ربط دارن به ADB:
این جعبهها تقریباً همهشون با ویژگی فعال “Android Debug Bridge” یا ADB میان بیرون! ADB یه ابزار مخصوص برنامهنویسها و کارخانههاست که نکتهش اینه: اگه روشن بمونه، هر کسی توی شبکه بتونه یه دستور ساده بفرسته، میتونه کل دستگاه رو کنترل کنه—بدون هیچ گونه رمز یا تایید هویت!
تحقیقات کی انجام داد؟
بنجامین براندیج، یه دانشجوی کامپیوتر و مؤسس شرکت امنیتی Synthient، توی ۲۰۲۵ کوبیده نشست و این بدافزار و رشدش رو دنبال کرد. اون متوجه شد اپراتورهای کیمولف به خاطر یه حفره امنیتی توی رزیدنشیالپراکسیهای معروف مثل IPIDEA، تونستن مستقیم به دستگاههای پشت مودمها دسترسی پیدا کنن. IPIDEA بزرگترین شبکه پراکسی جهان با بیش از ۱۰۰ میلیون نقطه دسترسیه و دو سومش دستگاه اندرویدیه که اکثراً هیچگونه حفاظت یا رمز ندارن!
یه زمان کوتاه، کیمولف تونست از این مزیت استفاده کنه و تقریباً هر دستگاه اندرویدی متصل به این شبکه پراکسی، بیهیچ مقاومتی هک و به باتنت اضافه میشد!
بازخورد شرکتها چه بود؟
وقتی تحقیقات بنجامین علنی شد، IPIDEA و چند شرکت بزرگ مجازی دیگه سریعاً اعلام کردن که مشکل برطرف شده—ولی بقیه دنیا باید حواسش رو جمع کنه و خودش رو بهروزرسانی کنه.
واقعاً خطرش چیه؟
یه سناریوی ساده: مهمونت میاد خونت، گوشیش یه اپ پراکسی مخفی داره. به مودم وصل میشه. بعد کیمولف ترافیک رو از خونه تو میندازه تو کار، شبکه داخلیتو اسکن میکنه و دستگاههای آسیبپذیر رو آلوده میکنه. پس مهمون بره، ممکنه تو دیگه قابعکس دیجیتال یا Android TVجا مونده تو خونت هم آلوده شده باشه و خودت خبر نداری!
یا یه سناریو دیگه: مهاجمها با ویرایش تنظیمات مودم، کاری میکنن که همه مرورگرت صفحات تقلبی لود کنه یا اطلاعاتتو به اشتباه لو بدی؛ دقیقاً مثل بدافزار معروف DNSChanger در ۲۰۱۲ که نصف میلیون مودم و روتر رو آلوده کرد.
حالا چی کار کنیم؟
متاسفانه تشخیص اینکه دستگاهت آلوده است یا نه آسون نیست. ابزار و تخصص زیادی میخواد که هر کسی باهاش راحت نیست. شرکت Synthient یه صفحه مخصوص گذاشته که با ورود بهش میتونی ببینی IPتو تو لیست باتنت دیده یا نه (adresi: synthient.com/check ). همینطور لیست مدلهای جعبه تیویهایی که بیشترین آلودگی رو داشتن رو هم توی گیتهاب گذاشتن.
اگه یه TV Box داری که اسمش تو اون لیسته (یا هیچ برند معتبری نداره)، واقعاً بهتره بکنی بریزی دور! اگه تو خونه دوست یا خانواده دیدی چنین دستگاهی هست، لینک این مقاله رو براش بفرست.
نگران فقط اندروید نباش!
خیلی از این پراکسیها واسه ویندوز، مک و حتی آیفون هم SDK (ابزار برنامهنویسی) دارن. پس هر دستگاه ناشناسی که به اینترنت خونه وصل میشه، میتونه راه نفوذ باشه.
گوگل چه کرد؟
گوگل هم توی سال ۲۰۲۵ یه شکایت رسمی علیه یه باتنت دیگه به اسم BadBox Enterprise ثبت کرد که ده میلیون دستگاه اندرویدی مشکوک رو شامل میشد و تو کارای تقلب تبلیغاتی و موارد مشابه نقش داشت. FBI یا پلیس فدرال آمریکا، همزمان هشدارداد که خیلی از این محصولات قبل از تحویلگرفتن توسط کاربر آلوده شدن یا موقع نصب اولیه و دانلود نرمافزار، بدافزار روشون میاد بالا!
پس چی بخریم؟
همیشه سراغ برندهای معتبر و فروشگاههای رسمی برو. هر چیزی که ظاهرش ارزون، بدون برند، یا وسطش وعده همیشکی “رایگان” میده، معمولاً تهش داستان داره! مخصوصاً موقع خرید وسایلی که باید به اینترنت وصل بشن. قبل از نصب برنامه ناشناس، حتماً سرچ کن و مطمئن شو امنه.
برای امنیت مهمونا هم اگه روترت قابلیت Guest Network (شبکه مهمان) داره، اون رو فعال کن. این مدلی دستگاه مهمون فقط به اینترنت دسترسی داره نه به فولدرها یا دستگاههای شبکه داخلی خونت.
حرف آخر: این جعبهها بیشتر از اینکه چیز خفنی باشن، یه دردسر پرخطرن که فقط ظاهرشون وسوسهکنندهست. امنیت شبکه خونهتو شوخی نگیر؛ حتی اگه دوست و فامیل بیخیال قضیهان.
هر سوال و تجربهای داشتی، کامنت بذار. احتمالاً هنوز ماجرا ادامه داره و قسمت دوم این داستان بزودی منتشر میشه!
منبع: +