pt

Novo Malware para Android rouba o Roteador DNS do Smartphone | Fórum

Localização do tópico: Início do fórum » Forum » Coisas de hackers
Buganet Ouro
Buganet Dez 30 '16



Pesquisadores descobriram um novo malware do Android que segmenta seus dispositivos, mas desta vez em vez de atacar o dispositivo diretamente, o malware assume o controle sobre o roteador WiFi ao qual o dispositivo está conectado e, em seguida, seqüestra o tráfego da web que passa por ele.

Apelidado de " Switcher ", o novo malware Android, descoberto por pesquisadores da Kaspersky Lab, hacks os roteadores sem fio e muda suas configurações de DNS para redirecionar o tráfego para sites maliciosos.

Mais de uma semana atrás, os pesquisadores descobriram Proofpoint ataque semelhante segmentação PCs, mas em vez de infectar máquinas do alvo, o Stegano explorar kit assume o controle sobre os routers Wi-Fi locais do dispositivo infectado está conectado.

Switcher Malware executa ataque da Brute-Force contra Routers

Atualmente, os hackers estão distribuindo o Trojan Switcher disfarçando-se como um aplicativo Android para o motor de busca chinês Baidu (com.baidu.com) e como um aplicativo chinês para compartilhar detalhes da rede Wi-Fi pública e privada (com.snda.wifilocating) .

Quando a vítima instala um desses aplicativos mal-intencionados, o malware do Switcher tenta fazer login no roteador WiFi ao qual o dispositivo Android da vítima está conectado, realizando um ataque de força bruta na interface web do roteador com um conjunto de um dicionário predefinido (lista ) De nomes de usuário e senhas.

"Com a ajuda de JavaScript [ Switcher ] tenta fazer o login usando diferentes combinações de logins e senhas," especialista em segurança móvel Nikita Buchka da Kaspersky Lab diz em um post publicado hoje.

"A julgar pelos nomes codificados de campos de entrada e as estruturas dos documentos HTML que o trojan tenta acessar, o código JavaScript usado funcionará somente em interfaces web de roteadores Wi-Fi TP-LINK".




Malware Switcher Infecta Roteadores via DNS Hijacking

Uma vez acessada a interface de administração da Web, o Trojan Switcher substitui os servidores DNS primários e secundários do roteador por endereços IP que apontam para servidores DNS mal-intencionados controlados pelos invasores.

Os pesquisadores disseram que o Switcher usou três endereços IP diferentes - 101.200.147.153, 112.33.13.11 e 120.76.249.59 - como o registro DNS primário, um é o padrão, enquanto os outros dois são definidos para provedores de serviços de Internet específicos.

Devido a alterações nas configurações de DNS do roteador, todo o tráfego é redirecionado para sites maliciosos hospedados em servidores próprios de invasores, em vez do site legítimo que a vítima está tentando acessar.

"O cavalo de Tróia atinge toda a rede, expondo todos os seus usuários, sejam indivíduos ou empresas, a uma ampla gama de ataques - de phishing a infecção secundária", lê o post.

"Um ataque bem sucedido pode ser difícil de detectar e ainda mais difícil de mudar: as novas configurações podem sobreviver a uma reinicialização do roteador, e mesmo se o DNS rogue é desativado, o servidor DNS secundário está pronto para continuar."

Os pesquisadores conseguiram acessar os servidores de comando e controle do atacante e descobriram que o Trojan de malware Switcher comprometeu quase 1.300 roteadores, principalmente na China e sequestrou o tráfego nessas redes.

A linha de fundo

Os usuários do Android são obrigados a fazer o download de aplicativos apenas da Play Store oficial do Google.

Embora o download de aplicativos de terceiros nem sempre acabem com malware ou vírus, certamente aumenta o risco. Portanto, é a melhor maneira de evitar que qualquer malware comprometa seu dispositivo e as redes acessadas.

Você também pode ir a Configurações → Segurança e verifique se a opção "Fontes desconhecidas" está desativada.

Além disso, os usuários do Android também devem mudar o login e senhas padrão do roteador para que malware desagradável como o Switcher ou o Mirai, não possam comprometer seus roteadores usando um ataque de força bruta.

Fonte: Thehackernews

Essa postagem é editada por Buganet Dez 30 '16