Pesquisadores do Kapersky Lab descobriram um novo trojan Android chamado Switcher que segmenta roteadores e altera suas configurações de DNS para redirecionar o tráfego para sites infectados.

O Trojan Switcher foi disfarçado de um novo cliente para o motor de busca chinês Baidu ( ou seja, quem conhece a lenda sabe que ele ganhou um nível só de usar o nome Baidu hahahaha ) e um aplicativo chinês para compartilhar detalhes de redes WiFi. Quando as vítimas instalam o aplicativo malicioso o cavalo de Tróia tenta adivinhar as credenciais do início de uma seção WiFi.

“Ao invés de atacar o usuário ele ataca a rede Wi-Fi ao qual o usuário está conectado ou, mais precisamente, o roteador sem fio que serve a rede. O trojan, chamado Trojan.AndroidOS.Switcher usa força bruta contra a interface web do roteador.”

Se o ataque for bem sucedido, o malware modifica os endereços dos servidores DNS nas configurações do roteador fazendo com que todas as consultas DNS de dispositivos nesta rede WiFi manda os usuários para os servidores dos cibercrimisonos, num ataque bem inteligente de DNS-hijacking .

O malware inclui dezenas de credenciais de login que são usadas comumente em roteadores para executar um ataque com sucesso de força bruta nas interfaces web.

O processo de infecção começa com o Malware recebendo o BSSID da rede e as informações são enviadas para o Centro de Controle avisando que o malware foi ativado em uma rede com BSSID. O código malicioso receberá o nome do ISP para determinar o servidor que será usado para o sequestro de DNS e inicia o ataque de força bruta, com as credenciais de login.

“O trojan obtém o endereço de rede de gateway padrão e em seguida, tenta acessá-lo no navegador incluso. Com a ajuda do Javascript ele tenta fazer o login usando diversas combinações de login e senhas. A julgar pelos nomes codificados de campos de entrada e as estruturas dos documentos HTMl que o trojan tenta acessar o código javascript que funcionária principalmente em roteadores TP-Link “, de acordo com o relatório da Kapersky Lab.

Quando o malware acessa a interface do rotreador ele substitui os servidores de DNS primários e secundários por endereços IP que apontam para servidores DNS com problemas (por exemplo, 101.200.147.153, 112.33.13.11 e 120.76.249.59).

Quando o malware altera as configurações de DNS o tráfego é redirecionado para sites infectados ao invés dos sites corretos e com isto, os usuários podem ser vítimas de phishing ou de sites que contém exploits que podem conter malware dos mais diversos tipos.

De acordo com a Kapersky o malware conseguiu infectar por volta de 1.280 redes WiFi redirecionando todo o tráfego dos usuários ligados a elas.

“O Trojan atinge toda a rede, expondo os seus usuários sejam indivíduos ou empresas a uma ampla gama de ataques de phishing a infecções , disse BuchKa. “Um ataque bem sucedido pode ser difícil de detectar e ainda mais difícil de mudar: as novas configurações podem sobreviver a uma reinicialização do roteador e mesmo se o DNS primário for desativado … o segundo está ali para responder a todas as requisições.”

Resumindo, um malware muito bem construído e que pode pegar muita gente, tendo em vista que o usuário comum adora instalar o que não deve em seus roteadores.

Via Security Affairs