Pubblicato il

Nuovo malware sfrutta i dispositivi Android per colpire i router domestici

Il malware Switcher sfrutta app contraffatte per Android al fine di modificare le impostazioni dei DNS sui router rendendo gli utenti della rete vulnerabili ad attacchi di phishing, e molto altro

Kaspersky ha scoperto un’evoluzione nel panorama dei malware per sistemi operativi Android: Switcher. Si tratta di un trojan capace di sfruttare i dispositivi Android come strumenti per infettare i router Wi-Fi, cambiarne le impostazioni DNS e ridirigere il traffico dai dispositivi connessi alla rete verso siti malevoli esponendo gli utenti ad attacchi di phishing, malware o adware. Secondo i dati di Kaspersky fino ad ora sono state violate 1.280 reti Wi-Fi, principalmente in Cina.

Switcher malware

Un DNS (Domain Name Server) trasforma l’indirizzo leggibile di un sito come “x.com” nell’indirizzo IP numerico necessario per la comunicazione tra computer. La capacità del trojan Switcher di dirottare questo processo attribuisce ai criminali il controllo quasi completo delle attività del network che usano questo sistema di name-resolution, come il traffico internet. Questo approccio funziona perché i router solitamente riconfigurano le impostazioni DNS di tutti i dispositivi connessi alla rete, forzando quindi ciascuno a usare lo stesso DNS nocivo.

L’infezione viene diffusa dagli utenti scaricando una delle due versioni del trojan per Android da un sito creato dai cyber criminali. La prima versione è mascherata da client per Android del motore di ricerca cinese Baidu, mentre l’altra è una versione fasulla molto ben fatta della celebre app cinese per la condivisione di informazioni sulle reti wi-fi: WiFi万能钥匙.

Quando un dispositivo infetto si connette a una rete Wi-Fi, il troJan attacca il router e prova ad accedere all’interfaccia di amministrazione web con un metodo “brute force”, indovinando le credenziali da una lunga lista predefinita di combinazioni di username e password. Se il tentativo ha successo, il trojan sostituisce all’attuale server DNS quello dannoso controllato dai cyber criminali e un secondo DNS che garantisce una stabilità costante anche nel caso in cui il primo smetta di funzionare.

Se si sospettano eventuali attività malevole sui propri dispositivi Kaspersky Lab suggerisce di controllare le impostazioni DNS e cercare i seguenti server DNS dannosi:

  • 101.200.147.153
  • 112.33.13.11
  • 120.76.249.59

Se uno di questi server è presente nelle impostazioni DNS, è necessario contattare l’assistenza del proprio ISP (Internet Service Provider) o avvisare il proprietario della rete wi-fi. L’azienda consiglia inoltre agli utenti di cambiare username e password di default dell’interfaccia di amministrazione web del router per evitare simili attacchi in futuro.