Stručnjaci poznate antivirus kompanije uočili su novu prijetnju u evoluciji Android malvera – Switcher Trojan.
Ovaj virus koristi Android uređaje kako bi inficirao Wi-Fi rutere, pri čemu mijenja njihova DNS podešavanja i preusmjerava saobraćaj sa ovih mreža na web stranice koje kontrolišu napadači.
Na taj način, korisnici postaju izloženi sishing napadima, malveru, adware i ransomware napadima, kao i drugim preijtnjama. Napadači tvrde da su uspješno inficirali 1.280 Wi-Fi mreža do sada, uglavnom na teritoriji Kine.
“Switcher Trojan predstavlja novi i opasan trend kad su u pitanju napadi na povezane uređaje i mreže. On ne napada korisnike direktno, već ih koristi kao ‘saučesnike’, tako što fizički koristi njihove uređaje za inficiranje. Ovaj virus targetira cjelokupnu mrežu, pri čemu sve njene korisnike, bilo da su u pitanju krajnji ili korporativni korisnici, izlaže prijetnjama kao što su fishing napadi ili sekundarne infekcije. Uspješan napad može biti jako teško detektovati i još teže ublažiti: nova podešavanja mogu da ‘prežive’ resetovanje rutera, a čak i da inficirani DNS bude isključen, sekundarni DNS server će nastaviti da radi. Zaštita uređaja je od ogromnog značaja, ali u povezanom svijetu ne smijemo sebi da priuštimo luksuz da previdimo bezbjednosne ranjivosti na ruterima i Wi-Fi mrežama”, izjavio je Nikita Bučka, stručnjak za mobilne uređaje i mreže u kompaniji Kaspersky Lab, prenosi Balkan Android.
Domain Name Server (DNS) pretvara čitljivu verziju web stranice, na primjer „x.com“, u numeričku IP adresu koja je neophodna za komunikaciju između računara. Sposobnost Switcher Trojan virusa da kompromituje ovaj proces daje napadačima gotovo potpunu kontrolu nad aktivnostima na mreži, kao i nad internet saobraćajem. Ovakav pristup funkcioniše zato što bežični ruteri obično izvrše DNS podešavanja na svim uređajima na mreži, tako da svi moraju da koriste kompromitovani DNS.
Infekcija je proširena tako što su korisnici preuzimali jednu od dvije verzije trojan virusa za Android uređaje sa web stranice koju su kreirali napadači. Prva verzija je bila maskirana kao Android klijent kineskog pretraživača, Baidu, a druga je bila veoma dobra kopija popularne aplikacije za dijeljenje informacija o Wi-Fi mrežama.
Kada se inficirani uređaj poveže na bežičnu mrežu, trojan virus napada ruter i pokušava da dobije pristup administratorskom interfaceu, oslanjajući se na brojne unaprijed definisane kombinacije lozinki. Ako je pokušaj uspješan, virus ‘zamjenjuje’ postojeći DNS server sa lažnim serverom koji kontrolišu cyber kriminalci, kao i sa sekundarnim DNS serverom, kako bi obezbijedio neometan rad u slučaju ‘obaranja’ primarnog lažnog servera.
Napadači su kreirali web stranicu koja promoviše i distribuira kompromitovane Wi-Fi aplikacije korisnicima. Javna statistika o infekcijama, na otvorenom dijelu ove web stranice, ukazuje na to da je do sada kompromitovano 1.280 veb stranica, pri čemu postoji mogućnost da svi uređaji povezani na njih budu izloženi infekciji.
Svi korisnici bi trebalo da provere svoja DNS podešavanja i da potraže sljedeće lažne DNS servere:
– 101.200.147.153
– 112.33.13.11
– 120.76.249.59
Ako imate jedan od ovih servera u vašim DNS podešavanjima, kontaktirajte lokalnu podršku za internet i obavijestite vlasnika mreže o tome. Kompanija Kaspersky Lab, takođe ozbiljno savjetuje sve korisnike da promijene fabričke šifre na administratorskom interfaceu rutera kako bi spriječili ovakve napade u budućnosti.
Da saznate više o Switcher Trojan virusu, pročitajte na stranici Securelist. (N1)
