بات‌نت کیم‌ولف: وقتی جعبه تی‌وی ناشناس، وای‌فای خونه‌تو می‌دزده!

احتمالاً فکر می‌کنی اینترنت خونه‌ت امنه و پشت مودم، همه‌چی آرومه؛ ولی واقعیت اینه که توی این روزها، این تصورت کاملاً قدیمی شده! یه بات‌نت خیلی قوی و عجیب به اسم “کیم‌ولف” اومده وسط و داره مثل سایه رو شبکه‌های داخلی مردم می‌چرخه و طبق آمار شرکت امنیتی Synthient، تا الان بیش از دو میلیون دستگاه رو آلوده کرده —اونم همه جای دنیا، مخصوصاً کشورهایی مثل ویتنام، برزیل، هند، عربستان، روسیه و آمریکا.

داستان چیه؟
کیم‌ولف یه نوع بدافزار (malware یعنی نرم‌افزار مخرب که بی‌سر و صدا کارای بدی می‌کنه) هست که با آلوده کردن دستگاهت، اونا رو تبدیل می‌کنه به پایگاه انتقال اینترنت برای کارای ناجور مثل تقلب تبلیغاتی، هک حساب کاربری، جمع‌آوری محتوای سایت‌ها (scraping) و البته حملات سنگین DDoS که حتی می‌تونن یه سایت رو برای چند روز کامل آفلاین کنن.

اما نکته‌ای که کیم‌ولف رو متمایز می‌کنه، روش فوق‌العاده حرفه‌ایش برای گسترشه: این بدافزار خودش رو از طریق “residential proxy network”ها پخش می‌کنه. یعنی شبکه‌هایی که به مردم اجازه می‌دن ترافیک اینترنت‌شون رو از خونه‌های افراد دیگه رد کنن تا ردپاشون معلوم نشه یا مثلاً لوکیشنشون عوض شه. عمده این شبکه‌ها بر پایه دستگاه‌هایی هستن که به ترافیک ناشناس اجازه عبور می‌دن و این یعنی کیم‌ولف می‌تونه وارد شبکه داخلی (LAN) همین دستگاه‌ها بشه، که مردم فکر می‌کنن پشت فایروال خونگی‌شون در امن و امانن!

از کجا میاد؟
منبع اصلی آلودگی‌ها، جعبه‌های Android TV تقلبی و بدون برند معتبر هست که توی سایت‌هایی مثل آمازون، والمارت، نیواِگ، بست‌بای و… پیدا می‌شن و از ۴۰ تا ۴۰۰ دلار قیمت دارن. خیلی وقتا با تبلیغ اینکه می‌تونی سریال و فیلم پولی رو رایگان ببینی، آدم‌ها رو وسوسه می‌کنن. اما غافل از اینکه تو دل این جعبه‌ها، یا حتی قاب عکس دیجیتال‌هایی (photo frame های مبتنی‌بر اندروید) که تو فروشگاه‌ها فراوانن، بدافزار کیم‌ولف یا برنامه‌هایی نصب شده که عملاً دستگاه رو تبدیل به ابزار نفوذ می‌کنه.

مثلاً خیلی از این جعبه‌ها از همون روز اول، با اپلیکیشن‌های غیررسمی و بدافزار ارائه می‌شن یا واسه استفاده کامل ازشون باید وارد “فروشگاه نرم‌افزاری غیررسمی اندروید” بشی و چیزایی که هیچ‌کس بررسی‌شون نکرده رو نصب کنی! این برنامه‌ها دستگاهتو یه “node” واسه پراکسی رزیدنشیال می‌کنن—that is، هر کسی از اینترنت تو به طور مخفیانه استفاده می‌کنه.

مشکل امنیتی دوم، سخت‌افزارهای ارزان و بی‌نام‌ونشونه که اصلاً توجهی به امنیت یا رمزنگاری وجود نداره. یعنی اگه توی یه شبکه، چند تا از این جعبه‌ها یا قاب عکس‌ها باشن، یه هکر می‌تونه با یک دستور ساده و بدون رمز همشونو آلوده کنه!

بخش جالب این حمله‌ها ربط دارن به ADB:
این جعبه‌ها تقریباً همه‌شون با ویژگی فعال “Android Debug Bridge” یا ADB میان بیرون! ADB یه ابزار مخصوص برنامه‌نویس‌ها و کارخانه‌هاست که نکته‌ش اینه: اگه روشن بمونه، هر کسی توی شبکه بتونه یه دستور ساده بفرسته، می‌تونه کل دستگاه رو کنترل کنه—بدون هیچ گونه رمز یا تایید هویت!

تحقیقات کی انجام داد؟
بنجامین براندیج، یه دانشجوی کامپیوتر و مؤسس شرکت امنیتی Synthient، توی ۲۰۲۵ کوبیده نشست و این بدافزار و رشدش رو دنبال کرد. اون متوجه شد اپراتورهای کیم‌ولف به خاطر یه حفره امنیتی توی رزیدنشیال‌پراکسی‌های معروف مثل IPIDEA، تونستن مستقیم به دستگاه‌های پشت مودم‌ها دسترسی پیدا کنن. IPIDEA بزرگترین شبکه پراکسی جهان با بیش از ۱۰۰ میلیون نقطه دسترسیه و دو سومش دستگاه اندرویدیه که اکثراً هیچ‌گونه حفاظت یا رمز ندارن!

یه زمان کوتاه، کیم‌ولف تونست از این مزیت استفاده کنه و تقریباً هر دستگاه اندرویدی متصل به این شبکه پراکسی، بی‌هیچ مقاومتی هک و به بات‌نت اضافه می‌شد!

بازخورد شرکت‌ها چه بود؟
وقتی تحقیقات بنجامین علنی شد، IPIDEA و چند شرکت بزرگ مجازی دیگه سریعاً اعلام کردن که مشکل برطرف شده—ولی بقیه دنیا باید حواسش رو جمع کنه و خودش رو به‌روزرسانی کنه.

واقعاً خطرش چیه؟
یه سناریوی ساده: مهمونت میاد خونت، گوشی‌ش یه اپ پراکسی مخفی داره. به مودم وصل میشه. بعد کیم‌ولف ترافیک رو از خونه تو میندازه تو کار، شبکه داخلی‌تو اسکن می‌کنه و دستگاه‌های آسیب‌پذیر رو آلوده می‌کنه. پس مهمون بره، ممکنه تو دیگه قاب‌عکس دیجیتال یا Android TVجا مونده تو خونت هم آلوده شده باشه و خودت خبر نداری!
یا یه سناریو دیگه: مهاجم‌ها با ویرایش تنظیمات مودم، کاری می‌کنن که همه مرورگرت صفحات تقلبی لود کنه یا اطلاعاتتو به اشتباه لو بدی؛ دقیقاً مثل بدافزار معروف DNSChanger در ۲۰۱۲ که نصف میلیون مودم و روتر رو آلوده کرد.

حالا چی کار کنیم؟
متاسفانه تشخیص اینکه دستگاهت آلوده است یا نه آسون نیست. ابزار و تخصص زیادی می‌خواد که هر کسی باهاش راحت نیست. شرکت Synthient یه صفحه مخصوص گذاشته که با ورود بهش می‌تونی ببینی IPتو تو لیست بات‌نت دیده یا نه (adresi: synthient.com/check ). همین‌طور لیست مدل‌های جعبه تی‌وی‌هایی که بیشترین آلودگی رو داشتن رو هم توی گیت‌هاب گذاشتن.

اگه یه TV Box داری که اسمش تو اون لیسته (یا هیچ برند معتبری نداره)، واقعاً بهتره بکنی بریزی دور! اگه تو خونه دوست یا خانواده دیدی چنین دستگاهی هست، لینک این مقاله رو براش بفرست.

نگران فقط اندروید نباش!
خیلی از این پراکسی‌ها واسه ویندوز، مک و حتی آیفون هم SDK (ابزار برنامه‌نویسی) دارن. پس هر دستگاه ناشناسی که به اینترنت خونه وصل میشه، می‌تونه راه نفوذ باشه.

گوگل چه کرد؟
گوگل هم توی سال ۲۰۲۵ یه شکایت رسمی علیه یه بات‌نت دیگه به اسم BadBox Enterprise ثبت کرد که ده میلیون دستگاه اندرویدی مشکوک رو شامل می‌شد و تو کارای تقلب تبلیغاتی و موارد مشابه نقش داشت. FBI یا پلیس فدرال آمریکا، همزمان هشدارداد که خیلی از این محصولات قبل از تحویل‌گرفتن توسط کاربر آلوده شدن یا موقع نصب اولیه و دانلود نرم‌افزار، بدافزار روشون میاد بالا!

پس چی بخریم؟
همیشه سراغ برندهای معتبر و فروشگاه‌های رسمی برو. هر چیزی که ظاهرش ارزون، بدون برند، یا وسطش وعده همیشکی “رایگان” می‌ده، معمولاً تهش داستان داره! مخصوصاً موقع خرید وسایلی که باید به اینترنت وصل بشن. قبل از نصب برنامه ناشناس، حتماً سرچ کن و مطمئن شو امنه.

برای امنیت مهمونا هم اگه روترت قابلیت Guest Network (شبکه مهمان) داره، اون رو فعال کن. این مدلی دستگاه مهمون فقط به اینترنت دسترسی داره نه به فولدرها یا دستگاه‌های شبکه داخلی خونت.

حرف آخر: این جعبه‌ها بیشتر از اینکه چیز خفنی باشن، یه دردسر پرخطرن که فقط ظاهرشون وسوسه‌کننده‌ست. امنیت شبکه خونه‌تو شوخی نگیر؛ حتی اگه دوست و فامیل بی‌خیال قضیه‌ان.

هر سوال و تجربه‌ای داشتی، کامنت بذار. احتمالاً هنوز ماجرا ادامه داره و قسمت دوم این داستان بزودی منتشر میشه!

منبع: +