Kimwolf殭屍網路透過開放ADB與代理網路感染超過200萬台Android裝置

2026 / 01 / 07

編輯部

Kimwolf殭屍網路透過開放ADB與代理網路感染超過200萬台Android裝置

資安業者 Synthient 揭露，名為 Kimwolf 的殭屍網路已感染超過 200 萬台 Android 裝置。攻擊者利用住宅代理網路作為跳板，大規模入侵這些裝置。

Kimwolf 殭屍網路的幕後操控者透過多種方式獲利，包括強制安裝應用程式、販售住宅代理頻寬，以及出租 DDoS 攻擊功能。

與 AISURU 殭屍網路的關聯

奇安信 XLab 在 2025 年 12 月首次公開揭露 Kimwolf，並指出它與另一個名為 AISURU 的殭屍網路存在關聯。Kimwolf 至少從 2025 年 8 月開始活躍，研究人員認為它是 AISURU 的 Android 版本。越來越多證據顯示，這個殭屍網路可能是去年底多起破紀錄 DDoS 攻擊的幕後黑手。

延伸閱讀：ShadowV2殭屍網路鎖定AWS容器史上最大22.2Tbps DDoS攻擊現蹤

這款惡意程式將受感染的系統轉變為惡意流量的中繼節點，用於發動大規模分散式阻斷服務攻擊。感染案例主要集中在越南、巴西、印度和沙烏地阿拉伯。Synthient 觀察到每週約有 1,200 萬個獨立 IP 位址參與這個殭屍網路。

攻擊手法：鎖定開放的 ADB 服務

Kimwolf 主要攻擊執行開放 Android 除錯橋接（Android Debug Bridge, ADB）服務的 Android 裝置。攻擊者透過掃描基礎設施，利用住宅代理安裝惡意程式。值得注意的是，連接到這個殭屍網路的裝置中，高達 67% 未經身分驗證且預設啟用 ADB。

研究人員懷疑這些裝置可能在出廠時就預裝了代理服務商提供的軟體開發套件（SDK），讓裝置在使用者不知情下被納入殭屍網路。受影響的裝置主要包括非官方 Android 智慧電視和機上盒。

IPIDEA 代理服務成為攻擊跳板

截至 2025 年 12 月，Kimwolf 感染事件持續利用中國業者 IPIDEA 出租的代理 IP 位址。IPIDEA 於 12 月 27 日實施安全修補程式，封鎖對本地網路裝置和多個敏感連接埠的存取。IPIDEA 為 IP 代理供應商，擁有超過 610 萬個每日更新的 IP 位址。

攻擊者的操作手法是先利用 IPIDEA 和其他代理供應商的代理網路，再透過執行代理軟體的系統連入其本地網路，藉此植入惡意程式。主要酬載（Payload）會監聽 40860 連接埠，並連線至 85.234.91[.]247:1337 接收進一步指令。

多元獲利模式

除了 DDoS 攻擊外，攻擊者還會在裝置上安裝名為 Plainproxies Byteconnect SDK 的頻寬獲利服務。這個 SDK 使用 119 台中繼伺服器，從命令與控制(C&C)伺服器接收代理任務，再由受感染裝置執行。

Synthient 指出，Kimwolf 從一開始就採取明確的獲利策略，積極販售住宅代理。攻擊者以每 GB 0.20 美分或每月 1,400 美元無限頻寬的超低價格，迅速在多家代理供應商中搶占市場。預裝惡意程式的電視盒，以及透過 Byteconnect 等次要 SDK 將殭屍網路貨幣化的手法，都顯示威脅行為者與商業代理供應商之間的關係日益緊密。