03/01/2017

Trojan Switcher włamuje się na routery Wi-Fi i zmienia adres DNS

Technologie Zagrożenia

Jedna z najważniejszych porad w świecie cyberbezpieczeństwa mówi o tym, że nigdy nie należy wprowadzać loginów, haseł, informacji o kartach kredytowych itp. na stronach, których adres URL wygląda podejrzanie. Dziwny adres to czasami oznaka kłopotów: taki jak na przykład fasebook.com zamiast facebook.com.

A co, jeśli fałszywa strona internetowa jest umieszczona na legalnej? Okazało się, że taki scenariusz jest możliwy — a złoczyńcy nie muszą nawet włamywać się na serwer, na którym znajduje się docelowa strona. Zobaczcie, jak to działa.

Przechwytywanie i przełączanie żądań DNS

Podczas wpisywania adresu strony w pasku adresu przeglądarki komputer wysyła żądanie do określonego serwera DNS, który zwraca adres żądanej domeny. Przykładowo: podczas wprowadzania adresu google.com odpowiedni serwer DNS zwraca adres IP 87.245.200.153 — i tam zostajemy przekierowani. W skrócie działa to tak:

Jednak oszuści wymyślili trik wykorzystujący system nazw domenowych (ang. Domain Name System, DNS). Tworzyli oni własne serwery DNS, które w odpowiedzi na żądanie „google.com” zwracały inny adres IP (np. 6.6.6.6), który mógł zawierać szkodliwą stronę. Taka sytuacja nazywa się przechwytywaniem adresów DNS.

Powodzenie ataku zależy od tego, czy ofiara użyje szkodliwego serwera DNS, który przekieruje ją na fałszywą stronę. Tak działali twórcy trojana Switcher.

Jak działa Switcher

Autorzy zagrożenia Switcher przygotowali kilka aplikacji dla systemu Android, z których jedna naśladowała Baidu (aplikację do przeszukiwania chińskiego internetu, odpowiednik wyszukiwarki Google), a inna udawała aplikację do wyszukiwania haseł do publicznych sieci Wi-Fi; taka usługa jest stosunkowo popularna w Chinach.

Gdy szkodliwa aplikacja przedostanie się do smartfona połączonego z siecią Wi-Fi, zgłasza serwerowi poleceń aktywowanie trojana w danej sieci, dołączając jej identyfikator.

Wówczas Switcher przechwytuje router Wi-Fi. Aby uzyskać dostęp do konta z uprawnieniami administratora i zalogować się do interfejsu ustawień, trojan testuje wiele różnych danych logowania. Sądząc po sposobie działania tego trojana, obecnie metoda sprawdza się tylko w przypadku routerów firmy TP-Link.

Jeśli trojan wprowadzi poprawne dane logowania, przechodzi do strony ustawień routera i zmienia oryginalny domyślny serwer DNS na szkodliwy. Ponadto szkodliwy program ustawia oryginalny serwer DNS wyszukiwarki Google na 8.8.8.8 jako drugi adres DNS, więc gdy szkodliwy serwer DNS zostanie zamknięty, ofiara niczego nie zauważy.

W przypadku większości sieci bezprzewodowych urządzenia pobierają ustawienia sieciowe (w tym także adres serwera DNS) z routerów, zatem wszyscy użytkownicy, którzy połączą się ze zhakowaną siecią, będą korzystać domyślnie ze szkodliwego serwera DNS.

Trojan informuje o swoim sukcesie serwer poleceń. Nasi eksperci, którzy go wykryli, dotarli również do statystyk pomyślnie przeprowadzonych ataków, które znajdowały się w publicznej części strony.

Jeśli liczby związane z trojanem Switcher są poprawne, w niecałe cztery miesiące ten szkodliwy program zainfekował aż 1 280 sieci bezprzewodowych, a cały ruch użytkowników tych hotspotów pozostawał do dyspozycji oszustów.

Jak uniknąć tego ataku i podobnych

  1. Zastosuj na routerze odpowiednie ustawienia. Zacznij od zmiany domyślnego hasła na bardziej skomplikowane.
  2. Nie instaluj na swoim smartfonie z systemem Android żadnych podejrzanych aplikacji. Korzystaj tylko z oficjalnych sklepów z aplikacjami — mimo że trojany znalazły już sposób na przedostanie się do nich, wciąż zapewniają one większe bezpieczeństwo niż te nieoficjalne.
  3. Aby zapewnić sobie jak największe bezpieczeństwo, zainstaluj na wszystkich swoich urządzeniach porządny program antywirusowy. Nie zwlekaj z tą decyzją i zrób to teraz: skorzystaj z darmowej wersji naszego produktu Kaspersky Antivirus & Security dla urządzeń z systemem Android. Program ten wykrywa wspomnianego trojana jako Trojan.AndroidOS.Switcher i chroni przed nim sieci Wi-Fi.