Novi Android trojanac napada rutere

Opisi virusa, 29.12.2016, 00:30 AM

Novi Android trojanac napada rutere

Stručnjaci kompanije Kaspersky Lab uočili su novu pretnju u evoluciji Android malvera - Switcher Trojan. Ovaj malver koristi Android uređaje kako bi inficirao Wi-Fi rutere, pri čemu menja njihova DNS podešavanja i preusmerava saobraćaj sa ovih mreža na web stranice koje kontrolišu hakeri. Na taj način, korisnici su izloženi fišing napadima, napadima malvera, adwarea i ransomwarea, kao i drugim pretnjama. Napadači tvrde da su uspešno inficirali 1280 Wi-Fi mreža do sada, uglavnom na teritoriji Kine.

„Trojanac Switcher predstavlja novi i opasan trend kada su u pitanju napadi na povezane uređaje i mreže. On ne napada korisnike direktno, već ih koristi kao „saučesnike“, tako što fizički koristi njihove uređaje za inficiranje. Ovaj malver cilja celokupnu mrežu, pri čemu sve njene korisnike, bilo da su u pitanju krajnji ili korporativni korisnici, izlaže pretnjama kao što su fišing napadi ili sekundarne infekcije. Uspešan napad teško je detektovati i još teže ublažiti: nova podešavanja mogu da „prežive“ resetovanje rutera, a čak i da inficirani DNS bude isključen, sekundarni DNS server će nastaviti da radi. Zaštita uređaja je od ogromnog značaja, ali u povezanom svetu ne smemo sebi da priuštimo luksuz da previdimo bezbednosne ranjivosti na ruterima i Wi-Fi mrežama”, izjavio je Nikita Bučka, stručnjak za mobilne uređaje i mreže u kompaniji Kaspersky Lab.

Domain Name Server (DNS) pretvara čitljivu verziju veb stranice, na primer „x.com“, u numeričku IP adresu koja je neophodna za komunikaciju između računara. Sposobnost Switcher trojanca da kompromituje ovaj proces daje napadačima gotovo potpunu kontrolu nad aktivnostima na mreži, kao i nad internet saobraćajem. Ovakav pristup funkcioniše zato što bežični ruteri obično izvrše DNS podešavanja na svim uređajima na mreži, tako da svi moraju da koriste kompromitovani DNS.

Malver je širen tako što su korisnici preuzimali jednu od dve verzije trojanca za Android uređaje sa web stranice koju su napravili hakeri. Prva verzija je bila maskirana kao Android klijent kineskog pretraživača Baidu, a druga je bila veoma dobra kopija popularne kineske aplikacije za deljenje informacija o Wi-Fi mrežama - WiFi万能钥匙.

Kada se inficirani uređaj poveže na bežičnu mrežu, trojanac napada ruter i pokušava da dobije pristup administratorskom interfejsu, oslanjajući se na brojne unapred definisane kombinacije lozinki. Ako je pokušaj uspešan, trojanac „zamenjuje“ postojeći DNS server lažnim serverom koji kontrolišu sajber kriminalci, kao i sa sekundarnim DNS serverom, kako bi obezbedio neometan rad u slučaju „obaranja“ primarnog lažnog servera.

Napadači su napravili web stranicu koja reklamira i distribuira kompromitovane Wi-Fi aplikacije. Javna statistika o infekcijama, na otvorenom delu ove web stranice, ukazuje na to da je do sada kompromitovano 1.280 mreža, pri čemu postoji mogućnost da svi uređaji povezani na njih budu izloženi infekciji.

Svi korisnici bi trebalo da provere svoja DNS podešavanja i da potraže sledeće lažne DNS servere:

• 101.200.147.153

• 112.33.13.11

• 120.76.249.59

Ako imate jedan od ovih servera u vašim DNS podešavanjima, kontaktirajte lokalnu podršku za internet i obavestite vlasnika mreže o tome. Kompanija Kaspersky Lab takođe savetuje sve korisnike da promene fabričke lozinke na administratorskom interfejsu rutera kako bi sprečili ovakve napade u budućnosti.

Više o trojancu Switcher možete saznati na blogu kompanije Kaspersky Lab, Securelist.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Pojavila se najnovija verzija ransomwarea GarrantyDecrypt, ransomwarea koga je otkrio istraživač Majkl Gilespi u oktobru 2018. godine. Iako nikada n... Dalje

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Do avgusta prošle godine malver Rietspoof cirkulisao je internetom neprimećen. Onda su ga otkrili istraživači Avasta koji sada upozoravaju na eksp... Dalje