Switcher: Android entra para o ‘clube de ataque’ a routers

Este trojan utiliza utilizadores de dispositivos Android como uma ferramenta para infectar routers Wi-Fi, alterando as suas configurações de DNS e redirecionando o tráfego dos dispositivos conectados à rede para sites controlados pelos invasores. Assim, os utilizadores ficam vulneráveis a phishing, malware, adware e outros códigos maliciosos. Os invasores alegam terem-se infiltrado em 1.280 redes sem fio até o momento, principalmente na China.

“O trojan Switcher marca uma nova tendência perigosa em ataques para redes e dispositivos conectados. Ele não ataca diretamente os utilizadores. Em vez disso, transforma-os em cúmplices involuntários, movendo fisicamente as fontes de infecção”, explica Nikita Buchka, especialista em segurança móvel da Kaspersky Lab. “O trojan visa a rede inteira, expondo todos os utilizadores, tanto pessoas quanto empresas, a uma grande variedade de ataques – do phishing a infecções secundárias”, avisa.

Um ataque bem-sucedido do Switcher pode ser difícil de detectar e mudar, porque as novas configurações podem sobreviver à reinicialização do router e, mesmo que o DNS anómalo seja desativado, o servidor DNS secundário estará disponível para continuar.

Os servidores de nomes de domínio (DNS) convertem um endereço web legível, como ‘x.com’, em um endereço IP numérico necessário para a comunicação entre computadores. A capacidade do cavalo de Troia Switcher de sequestrar este processo permite que os invasores tenham controlo quase completo sobre as atividades de rede que usam o sistema de resolução de nomes, como o tráfego de internet. Essa abordagem funciona porque, em geral, os routers sem fio redefinem as configurações do DNS de todos os dispositivos na rede para as suas próprias configurações, forçando assim o uso do mesmo DNS anómalo por todos.

A infecção é disseminada aos utilizadores através do download de uma das duas versões do trojan para Android em um site criado pelos invasores. A primeira versão é disfarçada como um cliente Android do mecanismo de pesquisa chinês Baidu, e a outra é uma versão falsa bem-feita de uma aplicação chinesa de partilha de informações sobre Wi-Fi:  WiFi万能钥匙.

Quando um dispositivo infectado se conecta a uma rede sem fio, o trojan ataca o router e tenta forçar o caminho até a interface web do administrador, adivinhando a password através de uma lista com combinações predefinidas de senhas e logins. Se a tentativa for bem-sucedida, o trojan troca o servidor DNS existente por um servidor anómalo controlado pelos criminosos virtuais e também usa um DNS secundário a fim de garantir a estabilidade permanente, caso o DNS anómalo seja desativado.

Os invasores criaram um site para promover e distribuir a aplicação de Wi-Fi com trojan aos utilizadores. O servidor Web que hospeda esse site é duplicado como servidor de comando e controle (C&C) dos criadores do malware. As estatísticas de infecção interna identificadas em uma parte aberta desse site revelam que as solicitações dos invasores comprometeram 1.280 sites e, possivelmente, expuseram todos os dispositivos conectados a eles a outros ataques e infecções.

A empresa recomenda que todos os utilizadores verifiquem as suas configurações de DNS, procurando pelos seguintes servidores DNS anómalos:

• 101.200.147.153
• 112.33.13.11
• 120.76.249.59

Se tiver um desses servidores nas suas configurações de DNS, entre em contato com o suporte do seu provedor de internet ou avise o proprietário da rede Wi-Fi. A Kaspersky Lab também recomenda que os utilizadores alterem o login e a password padrão da interface web do administrador do router para evitar ataques semelhantes no futuro.

Mais pormenores sobre o Switcher, em inglês, neste link.