Bezpečnostní analytici upozorňujú na rýchly nárast botnetu s názvom Kimwolf, ktorý podľa viacerých nezávislých pozorovaní kompromitoval približne 2 milióny zariadení s Androidom. Zasiahnuté nie sú len telefóny, ale predovšetkým lacné Android TV boxy, set-top boxy a príbuzné zariadenia bežiace dlhodobo v domácich sieťach, často bez systematickej podpory a pravidelných aktualizácií.
Výskumníci popisujú, že okrem schopnosti vykonávať distribuované útoky typu DDoS má botnet aj mechanizmy na presmerovanie internetovej prevádzky, teda budovanie rezidenčnej proxy infraštruktúry, ktorú môžu útočníci ďalej speňažovať. V praxi to znamená, že domáce pripojenie používateľa môže byť nepozorovane využívané ako sprostredkovateľ cudzích požiadaviek alebo ako súčasť útokov na externé ciele, pričom navonok sa prevádzka javí, akoby vychádzal z bežných domácností.
Pozornosť vyvolal aj spôsob, akým sa botnet prejavil v globálnej telemetrii internetu. V jednom z monitorovaných období sa riadiaca doména spájaná s Kimwolfom dostala medzi najnavštevovanejšie domény sveta, čo naznačuje mimoriadne veľký objem automatizovanej komunikácie medzi infikovanými zariadeniami a riadiacou infraštruktúrou. V rovnakom čase analytici zaznamenali aj masívne dávky príkazov súvisiacich s DDoS aktivitami, čo podporuje záver, že ide o botnet schopný veľkoobjemových útokov.
Dôvod, prečo si používatelia kompromitáciu často nevšimnú, je kombináciou technických a trhových faktorov. Mnohé lacné boxy používajú modifikované alebo slabo udržiavané verzie systému, bežia nepretržite a ich prostredie neposkytuje jasné signály, ktoré by človeka upozornili na neželanú činnosť na pozadí. Ako jeden z kľúčových vektorov sa spomína zle zabezpečený alebo zbytočne sprístupnený Android Debug Bridge (ADB), diagnostická funkcia určená pôvodne na servis a vývoj. Ak je nesprávne nakonfigurovaná a dostupná z internetu alebo z lokálnej siete bez primeraných obmedzení, môže sa stať vstupnou bránou pre vzdialené ovládanie a doinštalovanie škodlivého kódu. Analýzy zároveň naznačujú, že botnet dokáže využívať aj rezidenčné proxy siete na vyhľadávanie ďalších zraniteľných hostiteľov, čím urýchľuje šírenie.
Z pohľadu bezpečnosti je podstatné, že Kimwolf nepredstavuje len „jednorazovú“ infekciu, ale kompromitované zariadenia poskytujú útočníkom prenosovú kapacitu, anonymizačnú vrstvu a škálovateľný nástroj na útoky či obchádzanie blokácií. Pre bežných používateľov to znamená riziko nežiaducej prevádzky z vlastnej IP adresy, zvýšené dátové zaťaženie pripojenia a v niektorých prípadoch aj sekundárne riziko pre ďalšie zariadenia v domácej sieti.
