Pericolo malware, Switcher colpisce i router per infettare la rete wifi
Switcher, nuovo (e subdolo) trojan Android, sfrutta i dispositivi mobili infetti di ignari utenti per colpire i router wifi, cambiandone le impostazioni DNS in modo da ridirigere il traffico dai dispositivi connessi alla rete verso siti controllati dai criminali che, a loro volta, diffondono attacchi di phishing, malware, adware e altro ancora.
A scoprire la capacità di Switcher di “dirottare” il DNS (che trasforma la URL di un sito nell’indirizzo IP numerico necessario per la comunicazione tra computer) sono stati i ricercatori di Kaspersky Lab. I cybercriminali responsabili della diffusione del malware dichiarano di essersi infiltrati con successo fino a ora in 1.280 reti wifi, principalmente in Cina. Switcher consente agli hacker di ottenere il controllo quasi completo delle attività del network connesso al router infetto, in quanto i router wifi solitamente riconfigurano le impostazioni DNS di tutti i dispositivi della rete sulla base dei propri, forzandoli a usare tutti lo stesso DNS nocivo.
L’infezione viene diffusa inconsapevolmente dagli utenti scaricando una delle due versioni del trojan per Android da un sito creato dai cybercriminali: la prima versione è “mascherata” da client per Android del motore di ricerca cinese Baidu, mentre l’altra è una versione fasulla (e molto ben fatta, osservano gli esperti) di una popolare app cinese per la condivisione di informazioni sulle reti wifi.
Quando un dispositivo infetto si connette a una rete wi-fi, il troan attacca il router e prova ad accedere all’interfaccia di amministrazione con il metodo “forza bruta”, indovinando le credenziali da una lunga lista predefinita di combinazioni di username e password. Se il tentativo ha successo, il trojan sostituisce all’attuale server DNS quello dannoso controllato dagli hacker e un secondo DNS che garantisce una stabilità costante anche nel caso in cui il primo smetta di funzionare.
I cybercriminali hanno creato un sito per promuovere e distribuire l’app wi-fi contenente il trojan, ospitato su un server web funge anche da server di Comando e Controllo (C&C) degli autori del malware. Ed è dalle statistiche interne d’infezione scoperte su una parte aperta di questo sito che i ricercatori hanno scoperto che i criminali affermano di avere già compromesso 1.280 network, esponendo potenzialmente tutti i dispositivi ad essi connessi a ulteriori attacchi e infezioni.
“Il trojan Switcher indica una nuova tendenza negli attacchi ai network e ai dispositivi connessi. Non colpisce direttamente gli utenti, ma li trasforma in complici involontari: spostando fisicamente le fonti d’infezione. Il trojan prende di mira l’intera rete, esponendo tutti i suoi utenti – che si tratti di persone o di aziende – a una vasta gamma di attacchi, tra cui il phishing e ulteriori infezioni. Un attacco andato a buon fine può essere difficile da rilevare e ancora più difficile da fermare: le nuove impostazioni possono sopravvivere al riavvio del router e anche se il DNS dannoso viene disabilitato, il secondo server DNS è pronto a proseguire. Proteggere i dispositivi è sempre importante, ma in un mondo connesso non possiamo permetterci di sottovalutare la vulnerabilità dei router e delle reti wi-fi”, avverte Nikita Buchka, esperto di sicurezza mobile di Kaspersky Lab.
La società suggerisce di controllare le impostazioni DNS del proprio router, prestando attenzione in particolare all’eventuale presenza dei seguenti server DNS dannosi:
101.200.147.153
112.33.13.11
120.76.249.59
Se uno di questi fosse presente nelle impostazioni DNS, sottolinea Kaspersky, è necessario contattare l’assistenza del proprio Internet Service Provider o avvisare il proprietario della rete wifi. Ovvio ma importante anche il consiglio di cambiare username e password di default dell’interfaccia di configurazione del router, dal momento che sono moltissimi gli utenti che non si preoccupano di modificare quelli predefiniti impostati in fabbrica (i molti casi admin o administraror). (fonte)
