Switcher: טרויאני חדש הופך מכשירי אנדרואיד לכלי התקפה על נתבי WiFi
מאת:
מערכת Telecom News, 2.1.17, 21:09
הטרויאני משתמש במכשירי אנדרואיד ללא ידיעת המשתמשים ככלי להפניית תעבורה ממכשירים המחוברים ל-WiFi לאתרים הנשלטים ע"י התוקפים.
הטרויאני מותיר את הגולשים חשופים להתקפות פישינג, קוד זדוני, התקפות פרסום ועוד.
מומחי מעבדת קספרסקי חשפו אבולוציה מרשימה בקוד הזדוני למערכת ההפעלה אנדרואיד:
Switcher Trojan. הוא עושה שימוש במכשירי אנדרואיד של משתמשים, ללא ידיעתם, כדי להדביק נתבי
WiFi, במטרה לשנות את הגדרות ה-
DNS של הנתב ולהפנות תעבורה ממכשירים המחוברים לאותה הרשת אל אתרים הנשלטים ע"י התוקפים. בכך, הטרויאני מותיר את הגולשים חשופים להתקפות פישינג, קוד זדוני, התקפות פרסום ועוד. התוקפים טוענים כי חדרו עד עתה בהצלחה ל- 1,280 רשתות אלחוטיות, בעיקר בסין.
Domain Name Servers (
DNS) הופכים כתובת אינטרנט קריאה כגון
x.com אל כתובת
IP מספרית הנדרשת כדי לחבר בין 2 מחשבים. היכולת של הטרויאני
Switcher להשתלט על תהליך כזה מעניקה לתוקפים שליטה כמעט מלאה על הפעילות ברשת המשתמשת במערכת כזו להסבת שמות, לדוגמא: תעבורת האינטרנט. שיטת עבודה זו עובדת מכיוון שנתבים אלחוטיים מכפיפים, בדרך כלל, את כל הגדרות ה-
DNS של כל המכשירים שברשת להגדרות שלהם ובכך הם מחייבים את כולם להשתמש באותו
DNS תוקפני.
ההדבקה מתבצעת דרך משתמשים, שהורידו אחת מ-2 גרסאות של הטרויאני מאתר, שנוצר ע"י התוקפים. הגרסה הראשונה מסתווה כיישום אנדרואיד של מנוע החיפוש הסיני, ביידו, והשניה מתחזה לגרסת מזויפת מדויקת של אפליקציה הנפוצה בסין לשיתוף מידע ברשתות
WiFi:
WiFi万能钥匙.
כאשר מכשיר, שהודבק, מתחבר לרשת אלחוטית, הטרויאני תוקף את הנתב ומנסה לבצע פריצה כוחנית (
Brute-force) אל ממשק הניהול באמצעות ניחוש הסיסמא, כשהוא מסתמך על רשימה ארוכה של סיסמאות ושמות משתמשים, שהוגדרה מראש. אם הניסיון מצליח, הטרויאני מחליף את שרת ה-
DNS הקיים באחד מזויף הנמצא בשליטת עברייני הסייבר, וגם
DNS משני, כדי להבטיח יציבות אם ה-
DNS הראשון מושבת.
כדי להבהיר, זה מה שבדרך כלל מתרחש:
בעקבות התקפה מוצלחת של
Switcher, הדברים מתנהלים כך:
התוקפים הקימו אתר כדי לקדם את ההפצה של אפליקציית ה-
WiFi הטרויאנית. שרת האינטרנט, שמארח את האתר, משמש גם כשרת הפיקוד והשליטה של כותבי הקוד הזדוני. סטטיסטיקה פנימית לגבי הדבקות, שאותרה בחלק פתוח של האתר, חושפת, שהתוקפים טוענים, שפרצו ל-1,280 אתרים, שחושפים את כל המכשירים המחוברים אליהם להתקפות והדבקות נוספות.
החברה ממליצה, שכל המשתמשים יבדקו את הגדרות ה-
DNS שלהם ויחפשו אחר שרתי ה-
DNS המזויפים הבאים:
- 101.200.147.153
- 112.33.13.11
- 120.76.249.59
אם מופיע אחד מהשרתים האלה בהגדרות ה-
DNS שלך, צור קשר עם תמיכת האינטרנט שלך או הודע לבעלים של רשת ה-
WFi. החברה גם ממליצה למשתמשים לשנות את סיסמאות ברירת המחדל לממשק הניהול של הנתב שלהם כדי למנוע התקפות שכאלה בעתיד.
מידע נוסף על Switcher - כאן.
ניקיטה בוכקה, מומחה אבטחת ניידים, מעבדת קספרסקי: "
הטרויאני Switcher מסמן מגמה חדשה ומסוכנת בהתקפות על מכשירים מרושתים ורשתות. הוא אינו תוקף את המשתמשים ישירות. במקום זאת, הוא הופך אותם לשותפים שלא מרצון: כמקורות הדבקה ניידים. הטרויאני תוקף את כל הרשת, וחושף את כל המשתמשים בה, בין אם מדובר באנשים פרטיים או עסקים, לטווח רחב של התקפות – מפישינג ועד להדבקות משנה. קשה לזהות התקפה מוצלחת ואף קשה יותר להסיטה: ההגדרות החדשות יכולות לשרוד אתחול של הנתב, ואפילו אם ה-
DNS המזויף מנוטרל,
DNS משני נמצא במקום כדי להמשיך. הגנה על מכשירים חשובה מאי פעם, אבל בעולם מרושת אנו לא יכולים להתעלם מפרצות בנתבים ורשתות
WiFi".