【安全圈】奇安信 X 實驗室重磅披露：“ Kimwolf ”僵尸網絡操控全球超 180 萬臺安卓設備

關鍵詞

僵尸網絡

奇安信 X 實驗室近日披露，名為 "Kimwolf" 的僵尸網絡已感染全球超 180 萬臺安卓設備，主要針對智能電視盒子等家用設備。該網絡攻擊范圍覆蓋 222 個國家及地區，曾在 72 小時內下發逾 17 億條指令，其控制服務器所用域名在 Cloudflare 流行度排名中位列全球第一。研究顯示，Kimwolf 與臭名昭著的 "Aisuru" 僵尸網絡存在技術同源和基礎設施共享，背后或為同一黑客組織操控，具備持續演化與跨國攻擊能力。目前該網絡已通過代理轉發、DDoS 等手段牟利，月收益可達數萬美元，對全球網絡安全構成嚴重威脅。

Kimwolf 是一個使用 NDK 編譯的僵尸網絡，除具備典型的 DDoS 攻擊能力外，還集成了代理轉發、反向 Shell 和文件管理等功能。從整體架構來看，其功能設計并不復雜，但其中仍有一些值得關注的亮點：例如，該樣本采用了簡單而有效的棧異或（Stack XOR）操作對敏感數據進行加密；同時利用 DNS over TLS（DoT）協議封裝 DNS 請求，以規避傳統安全檢測。此外，其 C2 身份認證采用基于橢圓曲線的數字簽名保護機制，Bot 端會在驗簽通過后才接受通信指令。近期更引入EtherHiding技術以區塊鏈域名對抗處置，這些特征在同類惡意軟件中較為少見。從我們的分析結果來看，它主要針對Android平臺電視盒子。C2 后臺所顯示的 “歡迎來到 Android Support Center” 信息也可以印證這一點。

Kimwolf主要針對安卓平臺，涉及電視、機頂盒，平板等設備，部分設備型號如下所示：

Device Model

Device Model

Device Model

Device Model

TV BOX

SuperBOX

HiDPTAndroid

P200

X96Q

XBOX

SmartTV

MX10

感染設備分布在全球222個國家和地區，排名前15國家分析為巴西14.63%，印度12.71%，美國9.58%，阿根廷7.19%，南非3.85%，菲律賓3.58%，墨西哥3.07%，中國3.04%，泰國2.46%，沙特
2.37%，印度尼西亞1.87%，摩洛哥1.85%，土耳其1.60%，伊拉克1.53%，巴基斯坦1.39% 。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！