Nuovo malware sfrutta i dispositivi Android per colpire i router domestici

Nuovo malware sfrutta i dispositivi Android per colpire i router domestici

Il malware Switcher sfrutta app contraffatte per Android al fine di modificare le impostazioni dei DNS sui router rendendo gli utenti della rete vulnerabili ad attacchi di phishing, e molto altro

di Nino Grasso pubblicata il , alle 16:31 nel canale Sicurezza
KasperskyAndroid
 

Kaspersky ha scoperto un'evoluzione nel panorama dei malware per sistemi operativi Android: Switcher. Si tratta di un trojan capace di sfruttare i dispositivi Android come strumenti per infettare i router Wi-Fi, cambiarne le impostazioni DNS e ridirigere il traffico dai dispositivi connessi alla rete verso siti malevoli esponendo gli utenti ad attacchi di phishing, malware o adware. Secondo i dati di Kaspersky fino ad ora sono state violate 1.280 reti Wi-Fi, principalmente in Cina.

Switcher malware

Un DNS (Domain Name Server) trasforma l’indirizzo leggibile di un sito come “x.com” nell’indirizzo IP numerico necessario per la comunicazione tra computer. La capacità del trojan Switcher di dirottare questo processo attribuisce ai criminali il controllo quasi completo delle attività del network che usano questo sistema di name-resolution, come il traffico internet. Questo approccio funziona perché i router solitamente riconfigurano le impostazioni DNS di tutti i dispositivi connessi alla rete, forzando quindi ciascuno a usare lo stesso DNS nocivo.

L’infezione viene diffusa dagli utenti scaricando una delle due versioni del trojan per Android da un sito creato dai cyber criminali. La prima versione è mascherata da client per Android del motore di ricerca cinese Baidu, mentre l’altra è una versione fasulla molto ben fatta della celebre app cinese per la condivisione di informazioni sulle reti wi-fi: WiFi万能钥匙.

Quando un dispositivo infetto si connette a una rete Wi-Fij, il troan attacca il router e prova ad accedere all’interfaccia di amministrazione web con un metodo "brute force", indovinando le credenziali da una lunga lista predefinita di combinazioni di username e password. Se il tentativo ha successo, il trojan sostituisce all’attuale server DNS quello dannoso controllato dai cyber criminali e un secondo DNS che garantisce una stabilità costante anche nel caso in cui il primo smetta di funzionare.

Se si sospettano eventuali attività malevole sui propri dispositivi Kaspersky Lab suggerisce di controllare le impostazioni DNS e cercare i seguenti server DNS dannosi:

  • 101.200.147.153
  • 112.33.13.11
  • 120.76.249.59

Se uno di questi server è presente nelle impostazioni DNS, è necessario contattare l’assistenza del proprio ISP (Internet Service Provider) o avvisare il proprietario della rete wi-fi. L’azienda consiglia inoltre agli utenti di cambiare username e password di default dell’interfaccia di amministrazione web del router per evitare simili attacchi in futuro.

50 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
frankie30 Dicembre 2016, 16:43 #1
Azz, trucchetto malevolo ma ingegnoso. Non esiste più il virus albanese
La piaga peggiore sono i router TIM/Vodafone/Fastweb con la password originale, si bucano in millisecondi. Ah già non è una piaga ma una feature.
Basta aver cambiato la password di admin admin ehm default e passa tutto.
Mandopa30 Dicembre 2016, 16:50 #2
immagino sia una delle tante feature in più di android rispetto ad iOS
LorenzAgassi30 Dicembre 2016, 16:52 #3
Originariamente inviato da: Mandopa
immagino sia una delle tante feature in più di android rispetto ad iOS




Non vedi sopra che ti ha risposto anche Frankie?
E una feature dei Router Fibra (FTTHome) o VDSL2 (FTTCab) degli ISP con User e Password predefinite e che ti fanno anche da Proxy DNS
Ginopilot30 Dicembre 2016, 17:19 #4
Originariamente inviato da: Mandopa
immagino sia una delle tante feature in più di android rispetto ad iOS


Adesso google tirerà fuori una patch che tu... ops.
LorenzAgassi30 Dicembre 2016, 17:37 #5
Originariamente inviato da: Ginopilot
Adesso google tirerà fuori una patch che tu... ops.





Più che Google e smazzi vari corri subito a cambiare User & Password di default del tuo Router in comodato dall'ISP se non vuoi farti male a prescindere e i DNS fissali a mano su ogni dispositivo in rete LAN
gerko30 Dicembre 2016, 18:12 #6
Originariamente inviato da: frankie
Azz, trucchetto malevolo ma ingegnoso. Non esiste più il virus albanese
La piaga peggiore sono i router TIM/Vodafone/Fastweb con la password originale, si bucano in millisecondi. Ah già non è una piaga ma una feature.
Basta aver cambiato la password di admin admin ehm default e passa tutto.


Come fai ad entrare se la rete wifi è protetta da password wep wap tsk e compagnia varia? Se non sei connesso alla rete, puoi comunque entrare nelle impostazioni del modem?

Se poi parliamo di reti aperte allora ovvio.
*aLe30 Dicembre 2016, 18:19 #7
Originariamente inviato da: gerko
Come fai ad entrare se la rete wifi è protetta da password wep wap tsk e compagnia varia? Se non sei connesso alla rete, puoi comunque entrare nelle impostazioni del modem?
Prima cosa che mi viene in mente: tu vieni a casa mia a cena, hai il virus sul cellulare e non lo sai, vuoi farmi vedere l'ultimo video che ti hanno appena mandato su WhatsCoso ma la connessione 3G proprio a casa mia non prende (o sei tirchio e vuoi risparmiare i dati, delle due l'una)... E mi chiedi la password della rete Wi-Fi.
Ginopilot30 Dicembre 2016, 18:27 #8
Originariamente inviato da: *aLe
Prima cosa che mi viene in mente: tu vieni a casa mia a cena, hai il virus sul cellulare e non lo sai, vuoi farmi vedere l'ultimo video che ti hanno appena mandato su WhatsCoso ma la connessione 3G proprio a casa mia non prende (o sei tirchio e vuoi risparmiare i dati, delle due l'una)... E mi chiedi la password della rete Wi-Fi.


La soluzione e' semplice, non avere amici che hanno robaccia android
LorenzAgassi30 Dicembre 2016, 18:34 #9
Originariamente inviato da: Ginopilot
La soluzione e' semplice, non avere amici che hanno robaccia android




Hai letto o almeno un minimo capito cosa ti ho scritto sopra?
Questa storia di modificare i DNS dei Router con User+Password di default accadeva anche qualche decina di mesi fa via qualsiasi Browser Web vetusto e quindi non AUTOaggiornato alla sua ultima versione su computer e qualsiasi OS ( i Browser sono multipiattaforma) tramite Iframe alterato ed iniettato su siti Web preventivamente corrotti.
Impara a chiudere la porta a modo non lasciando User+Password di default in Admin ed indipendentemente dal fatto che tanto TU sei sicuro e credi di vivere in un paese dove nessuno ruberebbe mai niente ...se poi non vuoi farti male forte.
gerko30 Dicembre 2016, 18:34 #10
A ecco, ora è chiaro!

Devo togliere l'accesso ai miei nipotiiii!!!! AAAAAAAAAAAAAAAA

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^