Internationale Ermittler haben das Ausmaß des Kimwolf-Botnets aufgeklärt. Die Schadsoftware kaperte weltweit rund zwei Millionen Android-Geräte für Rekord-DDoS-Angriffe. Ein internationales Polizeibündnis schaltete die Steuerinfrastruktur nun aus.
Die endgültige Analyse liegt vor: Das spezialisierte Kimwolf-Botnet hat bis zu seiner Zerschlagung Ende März etwa zwei Millionen Android-Smart-TVs und Streaming-Boxen unter seine Kontrolle gebracht. Das bestätigen neue Daten von Cybersicherheitsbehörden. Die Malware, eine Android-Variante der größeren Aisuru-Malware-Familie, stellte eine gezielte Gefahr für mobile und IoT-Infrastruktur dar. Ermittler aus den USA, Kanada und Deutschland kartierten die Kommandozentralen des Netzwerks, das für einige der heftigsten Cyberangriffe der jüngeren Geschichte verantwortlich ist.
Der aktuelle Fall des Kimwolf-Botnets zeigt drastisch, wie leicht Android-basierte Systeme zum Ziel globaler Kriminalität werden können. Dieser kostenlose Ratgeber hilft Ihnen, Ihr eigenes Gerät mit fünf einfachen Schritten effektiv vor Hackern und Viren zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Vom IoT zu Android: Die Strategie der Botnet-Betreiber
Die Bedrohungsanalyse zeigt einen klaren strategischen Schwenk der Cyberkriminellen. Während das ursprüngliche Aisuru-Botnet Router, Webcams und andere IoT-Geräte angriff, wurde Kimwolf exklusiv für das Android-Ökosystem entwickelt. Die Täter nutzten eine Schwachstelle im System: Billig-Android-TV-Boxen und Streaming-Sticks, die oft mit veralteter oder mangelhafter Sicherheitssoftware ausgeliefert werden.
„Die Betreiber zielten bewusst auf Consumer-Geräte ab, die von traditioneller Sicherheitssoftware oft übersehen werden“, so ein Researcher. Durch die Fokussierung auf eine homogene Gerätebasis konnte die Malware effizienter und widerstandsfähiger programmiert werden. Insgesamt sollen die vier vernetzten Botnets Aisuru, Kimwolf, JackSkid und Mossad weltweit drei bis fünf Millionen Geräte infiziert haben – Kimwolf stellt fast die Hälfte.
Ermittlungsspuren führen nach Kanada und Deutschland
Die Verwaltung des Botnets war dezentral organisiert. Nach der Beschlagnahmung von Servern und Domains verfolgten die Ermittler die Aktivitäten bis nach British Columbia und Quebec in Kanada sowie nach Hannover in Deutschland.
In Kanada konzentrierten sich die Behörden auf Verdächtige, die über Residential-Proxy-Netzwerke ihre Spuren verwischten. Sie sollen im „Cybercrime-as-a-Service“-Modell den Zugriff auf die infizierten Geräte an andere kriminelle Gruppen verkauft haben. In Deutschland durchsuchten Beamte Objekte und beschlagnahmten digitale Vermögenswerte wie Kryptowährungen. Obwohl bis Anfang April keine Festnahmen bekannt wurden, haben die Aktionen die Steuerungsfähigkeit des Botnets erheblich geschwächt. Die koordinierte Arbeit von RCMP, FBI und deutschen Bundespolizisten legte die technischen und finanziellen Grundlagen des Netzwerks lahm.
Die Schwachstelle: Ungesicherte Android-TV-Boxen
Der rasante Erfolg von Kimwolf basierte auf einem ausgeklügelten Infektionsweg. Die Malware nutzte Sicherheitslücken in Residential-Proxy-Netzwerke. So konnte sie Geräte erreichen, die eigentlich durch heimische Firewalls geschützt waren.
Der Haupt-Einfallstor war der oft standardmäßig aktivierte Android Debug Bridge (ADB)-Dienst auf Port 5555. Bei vielen günstigen Android-TV-Boxen ist dieser administrative Zugang ohne Passwort freigeschaltet. Sobald ein Gerät im Heimnetzwerk kompromittiert war, konnte sich die Schadsoftware lateral auf andere Android-Geräte im selben Netzwerk ausbreiten. Diese Methode ermöglichte es dem Botnet, seine Größe auch nach Gegenmaßnahmen schnell wiederherzustellen. Die Malware tarnte ihre Kommunikation zudem mit Verschlüsselungstechniken wie DNS over TLS (DoT).
Da Kriminelle gezielt Schwachstellen in Android-Systemen ausnutzen, um sensible Daten abzugreifen, ist ein proaktiver Schutz für jeden Nutzer unverzichtbar. Erfahren Sie in diesem gratis PDF-Leitfaden, wie Sie Ihr Smartphone in wenigen Minuten absichern und WhatsApp, PayPal & Co. wieder sicher nutzen. Kostenlosen Sicherheits-Ratgeber herunterladen
Rekord-Angriffe und die Folgen der Zerschlagung
Mit der geballten Rechenkraft von Kimwolf und Aisuru starteten die Kriminellen historisch große DDoS-Angriffe. Ende 2025 und Anfang 2026 erreichten diese hypervolumetrischen Attacken einen Spitzenwert von 31,4 Terabit pro Sekunde (Tbps). Sie überwältigten selbst robuste Cloud-Abwehrdienste innerhalb von Sekunden.
Das US-Justizministerium macht Kimwolf für über 25.000 einzelne DDoS-Angriffsbefehle verantwortlich. Ziele waren Gaming-Server, Internetprovider und sogar Systeme innerhalb des US-Verteidigungsministeriums. Die Zerschlagungsaktion Ende März beschlagnahmte Dutzende US-Domains und Server, um die Verbindung zu den infizierten Geräten zu kappen. Ein bedeutender Erfolg für die Strafverfolgung – doch das grundlegende Problem bleibt.
Systemrisiko Billig-Hardware: Was jetzt zu tun ist
Die Enthüllungen um Kimwolf heizen die Debatte um die Sicherheit der globalen IoT-Lieferkette an. Viele der infizierten TV-Boxen waren bereits beim Verlassen der Fabrik oder während des Vertriebs kompromittiert. „Dies zeigt ein kritisches Versagen bei den Herstellungsstandards von Consumer-Android-Geräten“, analysieren Sicherheitsexperten.
Regulierungsbehörden in Nordamerika und Europa dürften den Import billiger, unbekannter Android-Hardware künftig strenger prüfen. Für Verbraucher und Unternehmen lauten die dringendsten Empfehlungen: ADB-Schnittstellen deaktivieren und alle internetfähigen Geräte mit starken, einzigartigen Passwörtern schützen. Netzwerkadministratoren sollten ungewöhnlichen Traffic auf Port 5555 überwachen. Zwar ist die aktuelle Kimwolf-Infrastruktur zerschlagen, doch die Schwachstellen in Millionen noch aktiver Geräte bleiben. Die Entstehung eines Nachfolger-Botnets in naher Zukunft ist daher leider sehr wahrscheinlich.
