Kimwolf安卓僵尸网络感染超过200万台设备

Synthient 公司的调查结果显示，名为Kimwolf 的僵尸网络通过住宅代理网络隧道感染了超过 200 万台安卓设备。

该公司在上周发布的一份分析报告中指出： “参与 Kimwolf 僵尸网络的关键人物通过应用程序安装、出售住宅代理带宽和出售其 DDoS 功能来将该僵尸网络货币化。”

Kimwolf最早由齐安信 XLab 于公开记录，当时齐安信 XLab 还记录了它与另一个名为 AISURU 的僵尸网络的关联。

Kimwolf 至少从 2025 年 8 月起就已活跃，据评估，它是 AISURU 的一个安卓变种。越来越多的证据表明，该僵尸网络实际上是去年底一系列创纪录的 DDoS 攻击的幕后黑手。

该恶意软件会将受感染的系统变成恶意流量的中继通道，并大规模策划分布式拒绝服务 (DDoS) 攻击。绝大多数感染集中在越南、巴西、印度和沙特阿拉伯，Synthient 每周监测到约 1200 万个独立 IP 地址。

传播该僵尸网络的攻击主要针对运行暴露的安卓ADB服务的安卓设备，攻击者利用住宅代理服务器进行扫描，从而安装恶意软件。连接到该僵尸网络的设备中，至少有 67% 未经身份验证，且默认启用了 ADB。

据怀疑，这些设备预先感染了来自代理提供商的软件开发工具包 (SDK)，以便秘密地将它们纳入僵尸网络。受影响最大的设备包括非官方的安卓智能电视和机顶盒。

截至2025年12月，Kimwolf病毒仍在利用IPIDEA公司提供的代理IP地址。该公司于12月27日发布了安全补丁，阻止了对本地网络设备和多个敏感端口的访问。IPIDEA自称是“全球领先的IP代理提供商”，拥有超过610万个每日更新的IP地址和6.9万个每日新增IP地址。

换句话说，其运作方式是利用 IPIDEA 的代理网络和其他代理提供商，然后通过运行代理软件的系统的本地网络建立隧道来投放恶意软件。

主有效载荷监听 40860 端口，并连接到 85.234.91[.]247:1337 以接收进一步的指令。

Synthient公司表示：“这种漏洞的规模前所未有，使数百万台设备面临攻击风险。”

这些攻击会使设备感染名为 Plainproxies Byteconnect SDK 的带宽货币化服务，表明攻击者意图进行更广泛的盈利活动。该 SDK 使用 119 个中继服务器，这些服务器从命令与控制服务器接收代理任务，然后由受感染的设备执行这些任务。

Synthient 表示，他们检测到了用于对 IMAP 服务器和热门在线网站进行凭证填充攻击的基础设施。

“Kimwolf的盈利策略很早就显露出来，那就是积极销售住宅代理。”该公司表示。“通过提供低至每GB 0.20美分或每月1400美元的无限带宽代理，它迅速获得了多家代理提供商的青睐。”

“发现预先感染病毒的电视盒子，并通过 Byteconnect 等二级 SDK 将这些僵尸程序货币化，表明威胁组织和商业代理提供商之间的关系正在加深。”

为应对风险，建议代理服务提供商屏蔽对RFC 1918地址的请求，这些地址是为私有网络定义的私有 IP 地址范围。建议各组织锁定运行未经身份验证的 ADB shell 的设备，以防止未经授权的访问。

技术报告：《一个崩溃的系统助长了僵尸网络》

https://synthient.com/blog/a-broken-system-fueling-botnets