Новый Android-троянец заражает беспроводные маршрутизаторы и перенаправляет пользователей Wi-Fi-сетей на вредоносные сайты, облегчая проведение дальнейших атак.

Исследователи из «Лаборатории Касперского», обнаружившие новобранца, нарекли его Switcher. На настоящий момент они различают две версии троянца, который, как пишет эксперт Никита Бучка, уже проник в 1280 Wi-Fi-сетей, преимущественно на территории Китая. Одна версия Switcher имитирует мобильный клиент китайского поисковика Baidu, другая выдает себя за популярное китайское приложение, позволяющее делиться информацией о публичных Wi-Fi-сетях, в том числе паролями.

Доступ к сетевому устройству Switcher получает брутфорсом, подбирая идентификаторы к веб-интерфейсу администрирования. В случае успеха зловред меняет в настройках роутера адреса DNS-серверов с тем, чтобы все DNS-запросы из сети Wi-Fi направлялись на серверы, находящиеся под контролем злоумышленников. Как отметил Бучка, подобный угон DNS опасен тем, что «новые настройки переживут даже перезапуск маршрутизатора, а установить факт DNS-hijacking довольно сложно». Тем временем пользователи атакованной Wi-Fi-сети могут подвергнуться разным атакам, в том числе фишингу и вторичному заражению.

«Злоумышленники получают почти полный контроль над сетевым трафиком, использующим систему разрешения имен (в частности, над всем веб-трафиком), — поясняет Бучка. — При наиболее распространенных настройках Wi-Fi-маршрутизаторов все DNS-настройки подключенных к ним устройств устанавливаются такими же, как у маршрутизатора, и если в маршрутизаторе оказывается прописан вредоносный DNS-сервер, то к нему будут обращаться и все подключенные к маршрутизатору сетевые устройства».

Авторы атаки по недосмотру оставили внутреннюю статистику заражений в открытой части сайта C&C-сервера, и исследователи смогли получить представление о масштабе распространения нового Android-троянца. Согласно этой статистике, за последние несколько недель Switcher сумел проникнуть в 1280 Wi-Fi-сетей.

На настоящий момент выявлены три IP-адреса вредоносных серверов DNS, связанных с атаками Switcher: 101.200.147.153, 112.33.13.11 и 120.76.249.59. Если они присутствуют в DNS-настройках сети, это явный признак заражения. Во избежание подобных атак «Лаборатория» настоятельно рекомендует сменить заводские логины и пароли в веб-интерфейсе используемого роутера.

Поведение Switcher несколько схоже с проделками эксплойт-пака DNSChanger, о которых недавно доложила Proofpoint. Тот тоже подменяет DNS-настройки роутера, но делает это с целью кражи трафика у крупных рекламных агентств. Основными мишенями DNSChanger являются маршрутизаторы производства D-Link, Netgear, Pirelli и Comtrend. Троянец Switcher, по свидетельству Бучки, атакует пока лишь Wi-Fi-роутеры TP-Link, об этом говорят прописанные в коде поля ввода логинов и паролей и структуры HTML-документов, к которым зловред пытается получить доступ.

Категории: Аналитика, Вредоносные программы