文章总结： Kimwolf安卓僵尸网络利用暴露的ADB服务和住宅代理网络感染超200万台设备，主要针对非官方智能电视与机顶盒。攻击者通过植入恶意SDK进行带宽货币化并实施DDoS攻击。建议屏蔽RFC1918地址请求并锁定未授权ADB服务以降低风险。 综合评分： 85 文章分类： 恶意软件,威胁情报,移动安全,IoT安全

Kimwolf安卓僵尸网络通过暴露的ADB和代理网络感染超过200万台设备

会杀毒的单反狗

军哥网络安全读报

2026年1月6日 09:01 湖北

导读

Synthient 公司的调查结果显示，名为Kimwolf 的僵尸网络通过住宅代理网络隧道感染了超过 200 万台安卓设备。

该公司在上周发布的一份分析报告中指出： “参与 Kimwolf 僵尸网络的关键人物通过应用程序安装、出售住宅代理带宽和出售其 DDoS 功能来将该僵尸网络货币化。”

Kimwolf最早由齐安信 XLab 于公开记录，当时齐安信 XLab 还记录了它与另一个名为 AISURU 的僵尸网络的关联。

Kimwolf 至少从 2025 年 8 月起就已活跃，据评估，它是 AISURU 的一个安卓变种。越来越多的证据表明，该僵尸网络实际上是去年底一系列创纪录的 DDoS 攻击的幕后黑手。

该恶意软件会将受感染的系统变成恶意流量的中继通道，并大规模策划分布式拒绝服务 (DDoS) 攻击。绝大多数感染集中在越南、巴西、印度和沙特阿拉伯，Synthient 每周监测到约 1200 万个独立 IP 地址。

传播该僵尸网络的攻击主要针对运行暴露的安卓ADB服务的安卓设备，攻击者利用住宅代理服务器进行扫描，从而安装恶意软件。连接到该僵尸网络的设备中，至少有 67% 未经身份验证，且默认启用了 ADB。

据怀疑，这些设备预先感染了来自代理提供商的软件开发工具包 (SDK)，以便秘密地将它们纳入僵尸网络。受影响最大的设备包括非官方的安卓智能电视和机顶盒。

截至2025年12月，Kimwolf病毒仍在利用IPIDEA公司提供的代理IP地址。该公司于12月27日发布了安全补丁，阻止了对本地网络设备和多个敏感端口的访问。IPIDEA自称是“全球领先的IP代理提供商”，拥有超过610万个每日更新的IP地址和6.9万个每日新增IP地址。

换句话说，其运作方式是利用 IPIDEA 的代理网络和其他代理提供商，然后通过运行代理软件的系统的本地网络建立隧道来投放恶意软件。

主有效载荷监听 40860 端口，并连接到 85.234.91[.]247:1337 以接收进一步的指令。

Synthient公司表示：“这种漏洞的规模前所未有，使数百万台设备面临攻击风险。”

这些攻击会使设备感染名为 Plainproxies Byteconnect SDK 的带宽货币化服务，表明攻击者意图进行更广泛的盈利活动。该 SDK 使用 119 个中继服务器，这些服务器从命令与控制服务器接收代理任务，然后由受感染的设备执行这些任务。

Synthient 表示，他们检测到了用于对 IMAP 服务器和热门在线网站进行凭证填充攻击的基础设施。

“Kimwolf的盈利策略很早就显露出来，那就是积极销售住宅代理。”该公司表示。“通过提供低至每GB 0.20美分或每月1400美元的无限带宽代理，它迅速获得了多家代理提供商的青睐。”

“发现预先感染病毒的电视盒子，并通过 Byteconnect 等二级 SDK 将这些僵尸程序货币化，表明威胁组织和商业代理提供商之间的关系正在加深。”

为应对风险，建议代理服务提供商屏蔽对RFC 1918地址的请求，这些地址是为私有网络定义的私有 IP 地址范围。建议各组织锁定运行未经身份验证的 ADB shell 的设备，以防止未经授权的访问。

技术报告：《一个崩溃的系统助长了僵尸网络》

https://synthient.com/blog/a-broken-system-fueling-botnets

新闻链接：

https://thehackernews.com/2026/01/kimwolf-android-botnet-infects-over-2.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

与俄罗斯关联的APT组织利用 Viber 攻击乌克兰

Russia-linked APT UAC-0184 uses Viber to spy on Ukrainian military in 2025

APT36 又名 Transparent Tribe）利用恶意 Windows 快捷方式攻击印度

https://www.esecurityplanet.com/threats/apt36-uses-malicious-windows-shortcuts-to-target-indian-government/

黑客声称从欧洲航天局窃取了 200GB 数据

https://www.techrepublic.com/article/news-hacker-claims-200gb-data-theft-european-space-agency/

HoneyMyte APT 组织通过内核模式 rootkit 和 ToneShell 后门不断演变

The HoneyMyte APT evolves with a kernel-mode rootkit and a ToneShell backdoor

Evasive Panda 网络间谍活动利用 DNS 投毒技术安装 MgBot 后门

Evasive Panda cyberespionage campaign uses DNS poisoning to install MgBot backdoor

银狐黑客利用所得税钓鱼诱饵攻击印度实体

Silver Fox Hackers Attacking Indian Entities with Income Tax Phishing Lures

一般威胁事件

General Threat Incidents

威胁组织“Crimson Collective”声称入侵美国最大的宽带服务商Brightspeed

Threat Group ‘Crimson Collective’ Allegedly Claim Breach of Largest Fiber Broadband Brightspeed

新型 VVS 窃取恶意软件通过混淆的 Python 代码攻击 Discord 帐户

VVS Stealer, a new python malware steals Discord credentials

Sedgwick披露TridentLocker勒索软件攻击后发生数据泄露事件

Sedgwick discloses data breach after TridentLocker ransomware attack

恶意软件活动利用 Booking.com 对酒店业发起攻击

Malware Campaign Abuses Booking.com Against Hospitality Sector

RondoDox僵尸网络利用React2Shell的严重漏洞劫持物联网设备和Web服务器

https://thehackernews.com/2026/01/rondodox-botnet-exploits-critical.html

Kimwolf安卓僵尸网络通过暴露的ADB和代理网络感染超过200万台设备

https://thehackernews.com/2026/01/kimwolf-android-botnet-infects-over-2.html

Trust Wallet Chrome 浏览器遭黑客攻击，资金被盗

https://www.cybermaterial.com/p/trust-wallet-chrome-hack-drains-funds

恶意 NPM 包伪装成 WhatsApp Web API，窃取消息和帐户访问权限

https://www.cysecurity.news/2026/01/malicious-npm-package-masquerading-as.html

新西兰下令对ManageMyHealth网络攻击事件进行审查

https://www.infosecurity-magazine.com/news/new-zealand-orders-review-manage/

研究人员警告称，Claude Chrome 扩展程序存在数据泄露风险

Researchers Warn of Data Exposure Risks in Claude Chrome Extension

漏洞事件

Vulnerability Incidents

WhatsApp漏洞泄露用户元数据，包括设备操作系统

WhatsApp Vulnerabilities Leak Users’ Metadata Including Device’s Operating System Details

Windows 用户面临风险，Zoom 严重漏洞（CVE-2025-49457）已被利用

https://www.techrepublic.com/article/news-zoom-flaw-windows-users-at-risk/

Fortinet遗留漏洞面临新威胁，数千台防火墙面临风险

https://www.cybersecuritydive.com/news/thousands-of-firewalls-at-risk-as-legacy-flaw-in-fortinet-under-renewed-thr/808739/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《Kimwolf安卓僵尸网络通过暴露的ADB和代理网络感染超过200万台设备》