Kimwolf僵尸网络活动
安全研究人员发现了一个名为 Kimwolf 的大型安卓僵尸网络,该网络利用住宅代理网络入侵了超过两百万台设备。该恶意软件将普通消费级硬件转变为全球攻击平台,悄无声息地路由恶意流量,并发起大规模分布式拒绝服务 (DDoS) 攻击。观测数据显示,每周约有 1200 万个独立 IP 地址受到影响,凸显了此次攻击的规模之大。
目录
起源、演变及与爱苏鲁的联系
Kimwolf 于2025 年 12 月首次被公开分析,当时调查人员发现它与另一个名为 AISURU 的僵尸网络存在密切的技术和基础设施联系。证据表明,Kimwolf 至少从 2025 年 8 月起就已活跃,并且是 AISURU 基于安卓系统的升级版。研究人员越来越相信,该僵尸网络是去年年底发生的几起破纪录的 DDoS 攻击的幕后推手。
全球感染足迹和靶向设备
尽管Kimwolf病毒在全球范围内传播,但感染主要集中在越南、巴西、印度和沙特阿拉伯。相当一部分受感染的系统是未经官方认证的安卓智能电视和机顶盒,其中许多设备出厂时就预装了不安全的默认配置。
至少有 67% 的联网设备暴露了未经认证的 Android 调试桥 (ADB) 服务,使其容易受到远程控制。调查人员怀疑,许多此类产品在交付给消费者之前就预装了与代理相关的软件开发工具包 (SDK),实际上将它们纳入了代理生态系统,而这些生态系统随后会成为恶意软件的传播渠道。
Kimwolf如何传播和维持控制
Kimwolf 的运营者依靠大型住宅代理网络扫描互联网,寻找运行暴露 ADB 服务的安卓设备。一旦发现目标,恶意软件就会远程安装,将设备变成流量中继和攻击节点。核心有效载荷会在 40860 端口上打开一个监听器,并与 85.234.91[.]247:1337 建立出站通信,从中接收操作指令。
截至2025年12月,仍有感染源被追溯到从中国IPIDEA公司租用的代理IP地址。IPIDEA自称是全球领先的IP代理服务提供商,每天更新超过610万个IP地址,新增地址达6.9万个。12月27日,在有证据表明攻击者通过客户安装的代理软件建立隧道来访问内部设备后,IPIDEA发布了一项安全更新,阻止了对本地网络和敏感端口的访问。
分析人士称,这种技术造成的风险是前所未有的,它将数百万消费者系统直接置于自动化攻击的威胁之下。
盈利模式:代理、有效载荷和付费攻击
从一开始,Kimwolf的经济动机就很明确。运营者积极地将他们的基础设施商业化,通过多种渠道将受损设备转化为盈利资产:
- 住宅代理访问服务的销售,广告宣传价格低至每 GB 0.20 美元,或每月约 1400 美元即可享受无限带宽,这吸引了多家代理服务商的早期采用。
- 部署辅助货币化 SDK,最值得注意的是 Plainproxies Byteconnect SDK,它通过 119 个专用中继服务器将付费代理任务从命令服务器路由到受感染的设备。
- 滥用僵尸网络进行网络犯罪活动,包括大规模 DDoS 攻击和针对 IMAP 服务和热门在线平台的撞库攻击。
预先感染病毒的电视盒子的出现以及商业带宽共享 SDK 的集成,强烈表明僵尸网络运营商与代理经济的各个环节之间的合作正在加深。
防御措施和风险降低
为减轻类似威胁,服务提供商和最终用户环境之间需要采取协调一致的行动:
- 代理网络应阻止发往 RFC 1918 地址范围的流量,防止外部客户访问消费者设备所在的内部专用网络。
- 组织和个人必须禁用或限制 Android 系统上的未经身份验证的 ADB 访问,特别是嵌入式和物联网风格的设备,这些设备通常默认设置不安全。
如果没有这些控制措施,住宅代理生态系统将继续为大规模恶意软件部署和僵尸网络扩张提供理想的掩护。
