Eksperci z Kaspersky Lab wykryli nietypową ewolucję w zakresie szkodliwego oprogramowania dla systemu Android: trojana Switcher. Szkodnik traktuje urządzenia nieświadomych użytkowników jako narzędzia do infekowania routerów Wi-Fi, zmieniając ich ustawienia DNS i przekierowując ruch z urządzeń połączonych z siecią na strony internetowe kontrolowane przez cyberprzestępców. W ten sposób użytkownicy stają się podatni na ataki phishingowe, szkodliwe oprogramowanie, adware i inne zagrożenia, a
także sami rozprzestrzeniają infekcję. Atakujący utrzymują, że do tej pory zdołali przeniknąć do 1 280 sieci bezprzewodowych, głównie w Chinach.
Serwery DNS „tłumaczą” adres internetowy w postaci literowej, taki jak ‘x.com’ na numeryczny adres IP wymagany do komunikacji między komputerami. Prezentowana przez trojana Switcher umiejętność przechwytywania tego procesu oznacza, że cyberprzestępcy posiadają niemal pełną kontrolę nad aktywnością sieciową, która wykorzystuje system rozwiązywania nazw, taką jak ruch internetowy. Metoda ta działa, ponieważ routery bezprzewodowe zwykle rekonfigurują ustawienia DNS wszystkich urządzeń w sieci na własne – wymuszając stosowanie tego samego fałszywego serwera DNS na wszystkich urządzeniach połączonych z daną siecią.
Infekcja rozprzestrzenia się za pośrednictwem użytkowników, którzy pobierają jedną z dwóch wersji trojana dla systemu Android ze strony internetowej stworzonej przez cyberprzestępców. Pierwsza wersja podszywa się pod przeznaczonego dla Androida klienta chińskiej wyszukiwarki Baidu, natomiast druga to dobrze wykonana fałszywa wersja popularnej chińskiej aplikacji do rozpowszechniania informacji o sieciach Wi-Fi.
Kiedy zainfekowane urządzenie łączy się z siecią bezprzewodową, trojan atakuje router i próbuje uzyskać dostęp do interfejsu administratora przy użyciu metody siłowej w oparciu o długą, predefiniowaną listę kombinacji haseł i loginów. Jeśli próba ta powiedzie się, trojan podmienia aktualny adres serwera DNS na fałszywy, kontrolowany przez cyberprzestępców. Aby zapewnić stabilność w przypadku wyłączenia fałszywego serwera, atakujący dodają także adres pomocniczy.
W celu promowania trojana podszywającego się pod popularną aplikację cyberprzestępcy stworzyli specjalną stronę internetową. Infrastruktura, w której jest ona przechowywana, pełni jednocześnie rolę serwera wykorzystywanego przez atakujących do kontrolowania swojego szkodliwego programu. Wewnętrzne statystyki dotyczące liczby infekcji, które zostały zauważone przez analityków w otwartej części tej strony internetowej, pokazują, że zdaniem atakujących zainfekowanych zostało 1 280 sieci Wi-Fi – potencjalnie narażając wszystkie połączone z nimi urządzenia na dalsze ataki i infekcję.
– Trojan Switcher sygnalizuje niebezpieczny nowy trend dotyczący ataków na urządzenia połączone z siecią i same sieci. Nie atakuje użytkowników w sposób bezpośredni. Zamiast tego zamienia ich w mimowolnych wspólników: w fizyczne, przemieszczające się źródła infekcji. Trojan atakuje całą sieć, narażając wszystkich jej użytkowników, zarówno osoby indywidualne jak i firmy, na szeroki wachlarz ataków – od phishingu i adware po dalsze szkodliwe programy. Skuteczny atak może być trudny do wykrycia i jeszcze trudniejszy do zneutralizowania: nowe ustawienia mogą przetrwać ponowne uruchomienie routera i nawet gdy fałszywy serwer DNS zostanie wyłączony, jego działanie może przejąć infrastruktura pomocnicza. Ochrona urządzeń jest tak samo istotna jak zawsze, jednak w świecie oplecionym gęstą siecią połączeń nie możemy pozwolić sobie na zignorowanie podatnych na ataki routerów i sieci Wi-Fi – powiedział Nikita Buczka, ekspert ds. bezpieczeństwa mobilnego, Kaspersky Lab.
Kaspersky Lab zaleca, aby wszyscy użytkownicy sprawdzili ustawienia DNS w swoich urządzeniach sieciowych i poszukali następujących fałszywych serwerów DNS: 101.200.147.153, 112.33.13.11, 120.76.249.59. Jeśli w ustawieniach znajduje się jeden z wymienionych adresów, należy niezwłocznie skontaktować się z działem pomocy technicznej dostawcy usług internetowych lub zawiadomić właściciela sieci Wi-Fi. Eksperci z Kaspersky Lab zalecają także wszystkim użytkownikom, aby zmienili domyślny login i hasło dostępu do swoich routerów – pomoże to zapobiec podobnym atakom w przyszłości.