Sfrutta ignari utenti Android come “ponte” per infettare i router wi-fi: scoperto il malware che ridirige il traffico dai dispositivi connessi alla rete ai siti controllati dai cybercriminali. Si chiama Switcher l’ultimo trojan scoperto dagli esperti di Kaspersky Lab che cambia le impostazioni DNS dei router wi-fi, rendendo gli utenti vulnerabili ad attacchi di phishing, malware e adware, e altro ancora. Finora, secondo quanto dichiarato dai cyber criminali stessi, si sono infiltrati con successo in 1.280 reti wi-fi, principalmente in Cina.
Ma come funziona questo nuovo attacco alla sicurezza dei dispositivi? Il DNS (Domain Name Server) trasforma l’indirizzo leggibile di un sito come “x.com” nell’indirizzo IP numerico necessario per la comunicazione tra computer. Il trojan Switcher dirotta questo processo attribuendo ai criminali il controllo quasi completo delle attività del network che usano questo sistema di name-resolution, come il traffico internet. L’infezione viene diffusa dagli utenti scaricando una delle due versioni del trojan per Android da un sito creato dai cyber criminali. La prima versione è mascherata da client per Android del motore di ricerca cinese Baidu, mentre l’altra è una versione fasulla molto ben fatta della celebre app cinese per la condivisione di informazioni sulle reti wi-fi: WiFi万能钥匙.
Malware Switcher, ecco quali sono i server DNS dannosi
Quando un dispositivo infetto si connette a una rete wi-fi, il troan attacca il router e prova ad accedere all’interfaccia di amministrazione web con il metodo “forza bruta”, indovinando le credenziali da una lunga lista predefinita di combinazioni di username e password. Se il tentativo ha successo, il trojan sostituisce all’attuale server DNS quello dannoso controllato dai cyber criminali e un secondo DNS che garantisce una stabilità costante anche nel caso in cui il primo smetta di funzionare. Kaspersky Lab suggerisce agli utenti di controllare le loro impostazioni DNS e cercare i seguenti server DNS dannosi:
• 101.200.147.153
• 112.33.13.11
• 120.76.249.59
Se uno di questi server è presente nelle impostazioni DNS, è necessario contattare l’assistenza del proprio ISP (Internet Service Provider) o avvisare il proprietario della rete wi-fi. L’azienda consigli inoltre agli utenti di cambiare username e password di default dell’interfaccia di amministrazione web del router per evitare simili attacchi in futuro. “Il trojan Switcher indica una nuova tendenza negli attacchi ai network e ai dispositivi connessi. Non colpisce direttamente gli utenti, ma li trasforma in complici involontari: spostando fisicamente le fonti d’infezione – spiega Nikita Buchka, esperto di sicurezza mobile di Kaspersky Lab -. Il trojan prende di mira l’intera rete, esponendo tutti i suoi utenti – che si tratti di persone o di aziende – a una vasta gamma di attacchi, tra cui il phishing e ulteriori infezioni. Un attacco andato a buon fine può essere difficile da rilevare e ancora più difficile da fermare: le nuove impostazioni possono sopravvivere al riavvio del router e anche se il DNS dannoso viene disabilitato, il secondo server DNS è pronto a proseguire”.
Clik here to view.
