Il trojan sfrutta ignari utenti di dispositivi Android per ridirigere il traffico dai device connessi al wi-fi ai siti controllati dai criminali
Gli esperti di Kaspersky Lab hanno scoperto un’importante evoluzione nel panorama dei malware per sistemi operativi Android: il trojan Switcher. Questo trojan sfrutta ignari utenti di dispositivi Android come strumenti per infettare i router wi-fi, cambiarne le impostazioni DNS e ridirigere il traffico dai dispositivi connessi alla rete ai siti controllati dai criminali, rendendo gli utenti vulnerabili ad attacchi di phishing, malware e adware, e altro ancora. I cyber criminali dichiarano di essersi, fino ad ora, infiltrati con successo in 1.280 reti wi-fi, principalmente in Cina.
Il DNS (Domain Name Server) trasforma l’indirizzo leggibile di un sito come “x.com” nell’indirizzo IP numerico necessario per la comunicazione tra computer. La capacità del trojan Switcher di dirottare questo processo attribuisce ai criminali il controllo quasi completo delle attività del network che usano questo sistema di name-resolution, come il traffico internet. Questo approccio funziona perché i router wi-fi solitamente riconfigurano le impostazioni DNS di tutti i dispositivi del network sulla base dei propri, forzando quindi ciascuno a usare lo stesso DNS nocivo.
L’infezione viene diffusa dagli utenti scaricando una delle due versioni del trojan per Android da un sito creato dai cyber criminali. La prima versione è mascherata da client per Android del motore di ricerca cinese Baidu, mentre l’altra è una versione fasulla molto ben fatta della celebre app cinese per la condivisione di informazioni sulle reti wi-fi: WiFi万能钥匙.
Quando un dispositivo infetto si connette a una rete wi-fi, il troan attacca il router e prova ad accedere all’interfaccia di amministrazione web con il metodo “forza bruta”, indovinando le credenziali da una lunga lista predefinita di combinazioni di username e password. Se il tentativo ha successo, il trojan sostituisce all’attuale server DNS quello dannoso controllato dai cyber criminali e un secondo DNS che garantisce una stabilità costante anche nel caso in cui il primo smetta di funzionare.
Di seguito un grafico che illustra cosa accade normalmente:
In seguito a un attacco Switcher andato a buon fine, accade come segue:
I cyber criminali hanno creato un sito per promuovere e distribuire agli utenti l’app wi-fi trojanizzata. Il server web che ospita questo sito funge da server di Comando e Controllo (C&C) degli autori del malware. Le statistiche interne d’infezione scoperte su una parte aperta di questo sito hanno permesso di scoprire che i criminali affermano di aver attualmente compromesso 1.280 network, esponendo potenzialmente tutti i dispositivi ad essi connessi a ulteriori attacchi e infezioni.
“Il trojan Switcher indica una nuova tendenza negli attacchi ai network e ai dispositivi connessi. Non colpisce direttamente gli utenti, ma li trasforma in complici involontari: spostando fisicamente le fonti d’infezione. Il trojan prende di mira l’intera rete, esponendo tutti i suoi utenti – che si tratti di persone o di aziende – a una vasta gamma di attacchi, tra cui il phishing e ulteriori infezioni. Un attacco andato a buon fine può essere difficile da rilevare e ancora più difficile da fermare: le nuove impostazioni possono sopravvivere al riavvio del router e anche se il DNS dannoso viene disabilitato, il secondo server DNS è pronto a proseguire. Proteggere i dispositivi è sempre importante, ma in un mondo connesso non possiamo permetterci di sottovalutare la vulnerabilità dei router e delle reti wi-fi”, ha commentato Nikita Buchka, esperto di sicurezza mobile di Kaspersky Lab.
Kaspersky Lab suggerisce agli utenti di controllare le loro impostazioni DNS e cercare i seguenti server DNS dannosi:
- 200.147.153
- 33.13.11
- 76.249.59
Se uno di questi server è presente nelle impostazioni DNS, è necessario contattare l’assistenza del proprio ISP (Internet Service Provider) o avvisare il proprietario della rete wi-fi. L’azienda consigli inoltre agli utenti di cambiare username e password di default dell’interfaccia di amministrazione web del router per evitare simili attacchi in futuro.
