【安全圈】奇安信 X 实验室重磅披露：“ Kimwolf ”僵尸网络操控全球超 180 万台安卓设备|kimwolf|万台安卓|僵尸|奇安信x实验室|安卓设备|新系统|网络安全

关键词

僵尸网络

奇安信 X 实验室近日披露，名为 "Kimwolf" 的僵尸网络已感染全球超 180 万台安卓设备，主要针对智能电视盒子等家用设备。该网络攻击范围覆盖 222 个国家及地区，曾在 72 小时内下发逾 17 亿条指令，其控制服务器所用域名在 Cloudflare 流行度排名中位列全球第一。研究显示，Kimwolf 与臭名昭著的 "Aisuru" 僵尸网络存在技术同源和基础设施共享，背后或为同一黑客组织操控，具备持续演化与跨国攻击能力。目前该网络已通过代理转发、DDoS 等手段牟利，月收益可达数万美元，对全球网络安全构成严重威胁。

Kimwolf 是一个使用 NDK 编译的僵尸网络，除具备典型的 DDoS 攻击能力外，还集成了代理转发、反向 Shell 和文件管理等功能。从整体架构来看，其功能设计并不复杂，但其中仍有一些值得关注的亮点：例如，该样本采用了简单而有效的栈异或（Stack XOR）操作对敏感数据进行加密；同时利用 DNS over TLS（DoT）协议封装 DNS 请求，以规避传统安全检测。此外，其 C2 身份认证采用基于椭圆曲线的数字签名保护机制，Bot 端会在验签通过后才接受通信指令。近期更引入EtherHiding技术以区块链域名对抗处置，这些特征在同类恶意软件中较为少见。从我们的分析结果来看，它主要针对Android平台电视盒子。C2 后台所显示的 “欢迎来到 Android Support Center” 信息也可以印证这一点。

Kimwolf主要针对安卓平台，涉及电视、机顶盒，平板等设备，部分设备型号如下所示：

Device Model

TV BOX

SuperBOX

HiDPTAndroid

P200

X96Q

XBOX

SmartTV

MX10

感染设备分布在全球222个国家和地区，排名前15国家分析为巴西14.63%，印度12.71%，美国9.58%，阿根廷7.19%，南非3.85%，菲律宾3.58%，墨西哥3.07%，中国3.04%，泰国2.46%，沙特
2.37%，印度尼西亚1.87%，摩洛哥1.85%，土耳其1.60%，伊拉克1.53%，巴基斯坦1.39% 。