У 2025 році Android-ботнети стали основним джерелом найпотужніших DDoS-атак в історії інтернету. Мережа Aisuru-Kimwolf, що складається переважно зі смарт-ТВ-приставок і мобільних пристроїв на Android, у грудні встановила світовий рекорд — 31,4 Тбіт/с. Ще одна загроза, BadBox 2.0, охопила понад 10 мільйонів пристроїв, які фактично продаються вже з прихованим бекдором. Розповідаємо, як шкідливі застосунки та дешеві Android-гаджети перетворюють квартири мільйонів людей на вузли глобальної інфраструктури кібератак.
Ще пʼять років тому DDoS-атаки з мобільних пристроїв вважалися рідкісним явищем. У травні 2020 року дослідники ESET опублікували розбір застосунку Updates for Android, який маскувався під щоденну стрічку новин у Google Play. Програма зібрала понад 50 000 завантажень і за командою віддаленого сервера почала генерувати трафік проти сайту ESET. Атака тривала сім годин, у ній задіяли близько 4 000 унікальних IP-адрес.
Тоді це здавалося нетиповим інцидентом — і експерт ESET Лукаш Стефанко прямо казав, що зловмисники «розкрили свій ботнет даремно», бо інструмент перестав існувати після того, як Google прибрав застосунок з магазину. Сьогодні ця історія читається інакше: вона була раннім сигналом про те, що згодом стане домінуючим вектором у глобальній DDoS-індустрії.
За даними щоквартального звіту Cloudflare про DDoS за четвертий квартал 2025 року, загальна кількість DDoS-атак у світі зросла на 121% рік до року й сягнула 47,1 мільйона. Кількість атак потужністю понад 100 мільйонів пакетів за секунду збільшилася на 600%, а атак, що перевищують 1 Тбіт/с, — на 65% за квартал. Більшість тригерів — короткі сплески, які тривають менше десяти хвилин і встигають вивести з ладу інфраструктуру швидше, ніж відреагують традиційні системи захисту.
Ключову роль у цій ескалації відіграють саме мобільні ботнети — мережі заражених Android-пристроїв. Якщо у 2020-му йшлося про десятки тисяч смартфонів, то сьогодні мова про мільйони пристроїв одночасно, переважно дешевих смарт-ТВ-боксів, проєкторів та інших гаджетів на Android Open Source Project.
Aisuru-Kimwolf: ботнет, що бʼє рекорди потужності
Aisuru-Kimwolf — найпотужніша на сьогодні DDoS-мережа, побудована переважно з Android-пристроїв. За оцінками Cloudflare, вона налічує від 1 до 4 мільйонів заражених хостів — здебільшого смарт-ТВ-приставок, Android-стримерів і мобільних пристроїв на Android. Сам Kimwolf — це Android-варіант «батьківського» ботнету Aisuru, який спеціалізується на зараженні Android-екосистеми. У ньому близько 2 мільйонів пристроїв, з найбільшою концентрацією заражень у Вʼєтнамі, Бразилії, Індії та Саудівській Аравії.
У ніч проти 19 грудня 2025 року оператори Aisuru провели кампанію, яку Cloudflare назвала «The Night Before Christmas». Її пік досяг 31,4 Тбіт/с — це найбільша публічно зафіксована DDoS-атака в історії. Паралельно йшли HTTP-атаки потужністю понад 200 мільйонів запитів за секунду. Трьома місяцями раніше та сама мережа встановила тодішній рекорд у 29,7 Тбіт/с, а за один лише третій квартал 2025-го Cloudflare заблокувала 1 304 гіперволюметричні атаки від Aisuru — у середньому 14 на добу.
Особлива небезпека Aisuru-Kimwolf полягає не лише в масштабі, а й у моделі монетизації. Оператори продають «шматки» ботнету як сервіс через канали в Telegram і Discord. Атака національного масштабу, здатна вивести з ладу магістральні мережі або інтернет-провайдерів цілої країни, коштує покупцеві від кількох сотень до кількох тисяч доларів США. Заражені пристрої також використовують як резидентні проксі — оператори здають їхні IP-адреси в оренду для маскування інших кібератак, скрейпінгу даних, перебору облікових записів.
Kimwolf поширюється переважно через відкриті інтерфейси Android Debug Bridge (ADB) та інфраструктуру резидентних проксі. За даними Synthient, з ботнету щотижня фіксують близько 12 мільйонів унікальних IP-адрес.
BadBox 2.0: коли пристрій уже заражений у магазині
Друга масштабна мобільна загроза 2025 року — ботнет BadBox 2.0. У червні ФБР видало публічне попередження про те, що мільйони побутових IoT-пристроїв, підключених до домашніх мереж, скомпрометовані цим шкідливим ПЗ. Йдеться про дешеві ТВ-приставки, цифрові проєктори, рамки для фото, автомобільні інфотейнмент-системи й планшети — переважно безбрендові пристрої з Android Open Source Project виробництва материкового Китаю.
Принциповою особливістю BadBox 2.0 є те, що пристрої заражаються ще до того, як покупець вийняв їх із коробки. Шкідливе ПЗ або вже інтегроване у прошивку на етапі виробництва, або встановлюється під час першої налаштування — коли пристрій завантажує «обовʼязкові» застосунки з бекдорами. Друга стратегія зараження — фальшиві застосунки-«близнюки» з неофіційних магазинів, які імітують популярний софт. Користувачів часто просять вимкнути Google Play Protect, щоб встановити «безкоштовний» доступ до контенту.
У липні 2025 року Google подала позов до федерального суду Нью-Йорка проти 25 невстановлених осіб, які стоять за BadBox 2.0. У судових документах компанія описує ботнет як «найбільшу відому мережу скомпрометованих смарт-ТВ-пристроїв» з понад 10 мільйонів пристроїв. У спільній операції Google, HUMAN Security, Trend Micro та Shadowserver Foundation вдалося відключити понад 500 000 заражених пристроїв від керівних серверів. Втім, дослідники застерігають: повністю розібрати інфраструктуру неможливо, бо канал постачання заражених пристроїв з Китаю продовжує працювати.
Найбільші концентрації заражень BadBox 2.0 — у Бразилії (37,6%), США (18,2%), Мексиці (6,3%) та Аргентині (5,3%). Загалом ботнет охопив 222 країни. Серед моделей, які найчастіше виявляли скомпрометованими, — приставки TV98, GameBox та ціла низка інших безбрендових пристроїв, що не сертифіковані Google Play Protect.
Як саме мобільні застосунки перетворюються на інструмент DDoS
Технічна схема, описана ESET у 2020 році на прикладі Updates for Android, у своїх основах не змінилася — лише масштабувалася. Сценарій складається з кількох кроків:
Етап «чистого» застосунку. Зловмисники публікують програму без шкідливих функцій — щоб пройти модерацію магазину й набрати користувацьку базу. У випадку Updates for Android до додавання шкідливого коду минуло близько чотирьох місяців.
Активація через оновлення. Коли база інсталяцій стає достатньою, виходить оновлення з модулем, що отримує команди з командного сервера (C&C). У стародавньому кейсі ESET застосунок звертався до сервера кожні 150 хвилин і передавав туди ідентифікатор пристрою.
Завантаження JavaScript. Сервер віддає скрипт із цільовим доменом, після чого пристрій починає надсилати запити до цього домену з частотою близько одного на секунду — і так до отримання нової команди.
Маскування. Та сама техніка віддаленого виконання JavaScript використовується десятками легітимних Android-фреймворків, тому автоматичне виявлення дає багато хибно позитивних спрацювань. Це й залишається однією з причин, чому такі застосунки потрапляють у Google Play.
У сучасних ботнетах, як-от Aisuru-Kimwolf, до цієї схеми додалися експлуатація відкритих сервісів ADB, проксі-функціональність для маршрутизації стороннього трафіку, можливість завантажувати й виконувати довільні APK-файли, а також модулі для перехоплення двофакторних кодів і реклами.
Як захиститися: що можна зробити вже сьогодні
Загроза охоплює переважно дешеві безбрендові пристрої з Android Open Source Project — не сертифіковані Google Play Protect смартфони з підозрілих джерел і особливо ТВ-приставки, що продаються як «розблоковані» для безкоштовного перегляду стримінгу. ФБР та дослідники безпеки рекомендують такі кроки:
Купуйте лише сертифіковані пристрої. Перед купівлею перевіряйте, чи має пристрій сертифікацію Google Play Protect. Безбрендові ТВ-приставки, які рекламують як «розблоковані» або «з безкоштовним доступом до платних сервісів», — головна група ризику.
Не вимикайте Google Play Protect. Якщо застосунок вимагає вимкнути цю функцію — це червоний прапорець. Play Protect автоматично попереджає й блокує програми з відомою поведінкою BadBox 2.0.
Завантажуйте застосунки лише з офіційних магазинів. Уникайте сторонніх APK-файлів і неофіційних маркетплейсів — саме через них поширюються «застосунки-близнюки» з бекдорами.
Стежте за дозволами. Перевіряйте, які права запитує програма, і чи відповідають вони її заявленому призначенню. Застосунок-новинна стрічка не потребує доступу до фонових мережевих зʼєднань або права відображати рекламу поверх інших програм.
Моніторте мережевий трафік. Підозрілі ознаки інфікованого пристрою: незрозумілий вихідний трафік, швидке розряджання батареї, перегрів, поява невідомих застосунків, неочікувані витрати мобільних даних.
Оновлюйте прошивку та операційну систему. Регулярні оновлення закривають відомі вразливості, через які Kimwolf поширюється — зокрема відкриті інтерфейси ADB.
Відключайте підозрілі пристрої від домашньої мережі. Якщо є підозра, що ТВ-приставка чи інший IoT-гаджет скомпрометований, ФБР рекомендує негайно вивести його з мережі.
Окремо варто памʼятати: антивіруси російського походження (Kaspersky, Dr.Web) не рекомендовані до використання в Україні. Для захисту мобільних пристроїв варто обирати рішення європейських, американських або українських розробників.
Що з цього випливає
Історія Updates for Android 2020 року сьогодні виглядає як прелюдія. Тоді 50 000 заражених смартфонів і атака на ESET здавалися екзотикою. У 2025-му ботнети з Android-пристроїв перетворилися на основний інструмент кіберзлочинців для гіперволюметричних атак — а доступ до них продається на чорному ринку як звичайний сервіс. Це означає, що навіть невелика організація сьогодні може стати ціллю атаки в кілька терабітів за секунду, замовленої за тисячу доларів.
Для пересічного користувача висновок простий: дешевий безбрендовий гаджет на Android — це не лише ризик для самого власника, а й внесок у глобальну інфраструктуру атак. Перевіряйте сертифікацію пристроїв перед купівлею, не вимикайте Play Protect, не встановлюйте застосунки з ненадійних джерел — і це вже знімає більшу частину індивідуального ризику.
