Kimwolf安卓僵尸网络滥用住宅代理感染内网设备
Kimwolf安卓僵尸网络滥用住宅代理感染内网设备
By
02:15 PM
Kimwolf僵尸网络作为Aisuru恶意软件的安卓变种,其感染主机已超过两百万台,其中大多数是通过利用住宅代理网络中的漏洞来感染内部网络设备。
研究人员观察到自去年八月以来该恶意软件活动激增。在过去一个月中,Kimwolf加强了对代理网络的扫描,以寻找暴露Android调试桥(ADB)服务的设备。
常见攻击目标包括允许通过ADB进行未授权访问的安卓电视盒和流媒体设备。受控设备主要用于分布式拒绝服务(DDoS)攻击、代理转售以及通过Plainproxies Byteconnect等第三方SDK实现应用安装变现。
Aisuru僵尸网络目前造成了公开披露的最大规模DDoS攻击,据Cloudflare测量,其峰值流量达
29.7 terabits per second
。
XLab的报告指出
,截至12月4日,Kimwolf安卓僵尸网络已控制超过180万台设备。
威胁情报与反欺诈网络安全公司Synthient的研究人员持续追踪Kimwolf活动。他们表示受控设备数量已攀升至近两百万台,每周产生约1200万个独立IP地址。
受感染的安卓设备主要分布在越南、巴西、印度和沙特阿拉伯。许多案例中,系统在购买前就已通过代理SDK被入侵,这
在过往已有报道
。
Kimwolf感染热力图
来源:Synthient
滥用住宅代理
据Synthient分析,Kimwolf的快速增长主要源于其滥用住宅代理网络接触脆弱安卓设备。具体而言,该恶意软件利用允许访问本地网络地址和端口的代理提供商,直接与代理客户端所在同一内部网络的设备进行交互。
自2025年11月12日起,Synthient监测到针对通过代理端点暴露的未授权ADB服务(目标端口5555、5858、12108和3222)的扫描活动显著增加。
Android调试桥(ADB)是用于开发和调试的接口,支持安装/卸载应用、运行shell命令、传输文件及调试安卓设备。当ADB通过网络暴露时,可能允许未经授权的远程连接以修改或控制安卓设备。
当设备可访问时,僵尸网络会通过
netcat
或
telnet
传送有效载荷,将shell脚本直接注入暴露设备并在本地执行,写入
/data/local/tmp
目录。
Synthient在12月期间捕获了多个有效载荷变种,但传播方式保持不变。
感染流程概览
来源:Synthient
研究人员在某住宅代理池样本中发现高暴露率,凸显出设备加入这些网络后数分钟内即可被攻陷。
"通过分析IPIDEA代理池中暴露的设备,我们发现67%的安卓设备处于未授权状态,易受远程代码执行攻击,"
Synthient解释道
。
"扫描显示约存在600万个脆弱IP[...]这些设备在出厂时往往已预装代理提供商的SDK。"研究人员指出。
受影响代理提供商IPIDEA(因开放所有端口访问而成为Kimwolf主要目标)于12月28日响应Synthient警报,已阻断对本地网络及大量端口的访问。
研究人员总计向Kimwolf活动中发现的"顶级代理提供商"发送了近十二份漏洞报告,但尚无法完全确定该恶意软件针对的所有代理提供商。
防护建议
Synthient发布了
在线扫描工具
,帮助用户检测网络设备是否感染Kimwolf僵尸网络。
若检测结果为阳性,研究人员建议受感染的电视盒应"彻底清除或销毁",否则僵尸网络将持续存在。
通用建议是避免使用
低价
通用
安卓电视盒
,优先选择信誉良好的原始设备制造商生产的"Google Play Protect认证"设备,例如Google Chromecast、NVIDIA Shield TV和小米电视盒。