Trojan Switcher - Android atakuje sprzęt sieciowy...
Eksperci z Kaspersky Lab wykryli nietypową ewolucję w zakresie szkodliwego oprogramowania dla systemu Android: trojana Switcher. Szkodnik traktuje urządzenia nieświadomych użytkowników jako narzędzia do infekowania routerów Wi-Fi, zmieniając ich ustawienia DNS i przekierowując ruch z urządzeń połączonych z siecią na strony internetowe kontrolowane przez cyberprzestępców. W ten sposób użytkownicy stają się podatni na ataki phishingowe, szkodliwe oprogramowanie, adware i inne zagrożenia, a także sami rozprzestrzeniają infekcję. Atakujący utrzymują, że do tej pory zdołali przeniknąć do 1 280 sieci bezprzewodowych, głównie w Chinach.
Serwery DNS „tłumaczą” adres internetowy w postaci literowej, taki jak ‘x.com’ na numeryczny adres IP wymagany do komunikacji między komputerami. Prezentowana przez trojana Switcher umiejętność przechwytywania tego procesu oznacza, że cyberprzestępcy posiadają niemal pełną kontrolę nad aktywnością sieciową, która wykorzystuje system rozwiązywania nazw, taką jak ruch internetowy. Metoda ta działa, ponieważ routery bezprzewodowe zwykle rekonfigurują ustawienia DNS wszystkich urządzeń w sieci na własne – wymuszając stosowanie tego samego fałszywego serwera DNS na wszystkich urządzeniach połączonych z daną siecią.
Infekcja rozprzestrzenia się za pośrednictwem użytkowników, którzy pobierają jedną z dwóch wersji trojana dla systemu Android ze strony internetowej stworzonej przez cyberprzestępców. Pierwsza wersja podszywa się pod przeznaczonego dla Androida klienta chińskiej wyszukiwarki Baidu, natomiast druga to dobrze wykonana fałszywa wersja popularnej chińskiej aplikacji do rozpowszechniania informacji o sieciach Wi-Fi.
Kiedy zainfekowane urządzenie łączy się z siecią bezprzewodową, trojan atakuje router i próbuje uzyskać dostęp do interfejsu administratora przy użyciu metody siłowej w oparciu o długą, predefiniowaną listę kombinacji haseł i loginów. Jeśli próba ta powiedzie się, trojan podmienia aktualny adres serwera DNS na fałszywy, kontrolowany przez cyberprzestępców. Aby zapewnić stabilność w przypadku wyłączenia fałszywego serwera, atakujący dodają także adres pomocniczy.
W celu promowania trojana podszywającego się pod popularną aplikację cyberprzestępcy stworzyli specjalną stronę internetową. Infrastruktura, w której jest ona przechowywana, pełni jednocześnie rolę serwera wykorzystywanego przez atakujących do kontrolowania swojego szkodliwego programu. Wewnętrzne statystyki dotyczące liczby infekcji, które zostały zauważone przez analityków w otwartej części tej strony internetowej, pokazują, że zdaniem atakujących zainfekowanych zostało 1 280 sieci Wi-Fi – potencjalnie narażając wszystkie połączone z nimi urządzenia na dalsze ataki i infekcję.
Kaspersky Lab zaleca, aby wszyscy użytkownicy sprawdzili ustawienia DNS w swoich urządzeniach sieciowych i poszukali następujących fałszywych serwerów DNS: 101.200.147.153, 112.33.13.11, 120.76.249.59. Jeśli w ustawieniach znajduje się jeden z wymienionych adresów, należy niezwłocznie skontaktować się z działem pomocy technicznej dostawcy usług internetowych lub zawiadomić właściciela sieci Wi-Fi. Eksperci z Kaspersky Lab zalecają także wszystkim użytkownikom, aby zmienili domyślny login i hasło dostępu do swoich routerów – pomoże to zapobiec podobnym atakom w przyszłości.
