返回新闻列表

Switcher 木马:能够攻击路由器的安卓木马

       卡巴斯基实验室的安全专家发现安卓操作系统下的恶意软件出现新的演化方向,而这一发现来自一种名为Switcher的木马。这种恶意软件会通过安卓设备,感染Wi-Fi路由器,更改路由器的DNS设置,将连接这一设备的用户流量重定向到攻击者控制的网站上,让用户面临钓鱼攻击、恶意软件攻击和广告软件攻击等风险。据攻击者所称,他们目前已经成功入侵了1,280个无线网络,其中大部分受害者位于中国。

       域名服务器(DNS)能够将好记的网页地址如“x.com”转换成为计算机之间通讯所需数字IP地址。Switcher木马能够劫持这一过程,让攻击者几乎完全控制使用域名解析系统进行的网络行为,例如互联网通讯。这种攻击手段之所以有效,是因为无线路由器通常会对网络中所有的设备重新配置DNS,从而让所有人都使用同一个欺诈DNS。

       这种木马通过用户从攻击者制作的网站下载两种版本的安卓木马进行传播。第一种版本的木马会伪装中文搜索引擎Baidu的客户端,另一种版本的木马则会伪装成中国常用的用于分享Wi-Fi网络信息的应用:WiFi万能钥匙。

       当受感染设备连接到无线网络时,木马会对路由器进行攻击,利用预先设定的用户名和密码组合暴力破解路由器的网页登陆界面。如果成功破解,木马会使用网络罪犯控制的流氓DNS服务器替换路由器上本来的DNS。此外,还会设置一个备用DNS,以防流氓DNS下线后确保服务能够正常进行。

       作为演示,让我们来看一下正常情况下应该是如下所示:

       如果Switcher攻击成功,就会发生如下情况:

       攻击者建立了一个网站,专门用来推广和传播包含木马的Wi-Fi应用。充当这些网站的网络服务器同时也是攻击者的命令和控制(C&C)服务器。该网站上有一部公开显示了内部感染统计数据。据称,攻击者已经感染了1,280个网络。这就表示,所有连接到这些网络的设备都面临遭受进一步攻击和感染的风险。

       “Switcher木马的出现,标志着针对联网设备和网络出现一种新的攻击趋势。这种攻击不会针对用户直接进行攻击。而是让用户变为不知情的共犯:从物理上消除感染源。这种木马的攻击目标是整个网络,并且让网络中的所有用户,不管是个人用户还是企业用户,都暴露于遭受更多攻击的风险下,包括钓鱼攻击以及二次感染等。这种攻击很难检测,而且更难消除:即使路由器重启,路由器中的设置也不会改变。即使用户关闭了流氓DNS。备份DNS服务器仍然能够执行恶意功能。虽然保护设备本身非常重要,但是在联网世界中,我们也不能忽视路由器和WI-Fi网络中存在的漏洞,”卡巴斯基实验室移动安全专家Nikita Buchka说。

       卡巴斯基实验室建议所有用户检查自己的DNS设置,查找其中是否包含以下流氓DNS服务器:

  • 101.200.147.153
  • 112.33.13.11
  • 120.76.249.59

       如果您的DNS设置中博阿寒以上任何服务器,请联系您的ISP服务商或通知Wi-Fi网络所有者。卡巴斯基实验室强烈建议用户修改路由器网页管理界面的默认登录名和密码,避免未来遭遇此类攻击。

       要了解有关Switcher木马更多详情,请阅读Securelist上的相关博文