【安全资讯】Kimwolf安卓僵尸网络滥用住宅代理感染内网设备，规模已超200万台

概要：

网络安全威胁正以新的形态蔓延至家庭网络内部。近期，一个名为Kimwolf的安卓僵尸网络活动激增，其通过滥用住宅代理网络，专门针对内部网络中的安卓设备进行感染。该僵尸网络已控制超过200万台设备，并已被用于发动史上最大规模的DDoS攻击之一，对全球网络基础设施构成严重威胁。

主要内容：

Kimwolf僵尸网络是Aisuru恶意软件的安卓变种，自2025年8月以来活动显著增加。其核心攻击手法是扫描并利用住宅代理网络中的漏洞，进而定位并感染内部网络中的安卓设备，特别是那些暴露了Android调试桥（ADB）服务的设备，如安卓电视盒和流媒体设备。

攻击的技术关键在于，Kimwolf利用了允许访问本地网络地址和端口的代理提供商。这使得恶意软件能够直接与代理客户端所在同一内部网络中的设备交互。攻击者主要扫描5555、5858等ADB常用端口，一旦发现未认证的ADB服务，便通过netcat或telnet直接向设备注入并执行shell脚本载荷。

据威胁情报公司Synthient分析，在部分代理池中，高达67%的安卓设备ADB服务未设置认证，极易遭受远程代码执行攻击。许多设备甚至在购买前就已通过代理SDK被预感染。该僵尸网络控制的设备每周产生约1200万个独立IP地址，主要用于发动DDoS攻击、转售代理流量以及通过第三方SDK进行应用安装变现。

目前，受影响的设备主要集中在越南、巴西、印度和沙特阿拉伯。作为应对，部分代理提供商如IPIDEA已根据安全报告封锁了对本地网络的访问。安全专家建议用户避免使用廉价非认证的安卓电视盒，并优先选择经过‘Google Play Protect认证’的设备，以防感染。