Switcher: un trojan per Android che attacca i router WiFi casalinghi

Il trojan usa i dispositivi mobili dotati del sistema di Google per infettare i router WiFi e cambiare i server DNS con indirizzi pericolosi
Vezio Ceniccola
Vezio Ceniccola Tech Master
Switcher: un trojan per Android che attacca i router WiFi casalinghi

Ancora problemi di sicurezza su Android, anche se stavolta il problema non si focalizza sui dispositivi mobili. Gli esperti di Kaspersky Lab hanno, infatti, scoperto una nuova minaccia alla sicurezza che sfrutta smartphone e tablet dotati del sistema operativo di Google per attaccare i router WiFi casalinghi.

Il trojan si chiama Switcher e pare abbia già colpito più di 1.280 reti WiFi, soprattutto in Cina. Come detto, il malware non colpisce direttamente i dispositivi Android e non è facilmente identificabile su questi terminali, che vengono usati solo come tramite per lanciare l'infezione.

Come agisce il trojan

Tutto parte dal codice malevolo contenuto in alcune app per Android, che una volta installate sul dispositivo permettono al malware di comunicare con le reti WiFi a cui esso è collegato. Individuato l'obiettivo, il trojan lancia un attacco col metrodo "forza bruta" verso il router, cercando di indovinare la password ed avere accesso al sistema. Se l'attacco ha successo, Switcher cambia gli indirizzi DNS impostati sul router, indirizzando tutto il traffico internet verso siti controllati da malintenzionati.

Questo causa la comparsa di strani avvisi sui dispositivi che si connettono alla rete del router infetto, col rischio di subire violazioni come phishing, malware e adware.

Graficamente, ecco come si presenta la situazione prima dell'attacco, in un contesto normale:

kaspersky-lab-1

Mentre questa è la situazione della rete dopo l'infezione, con il traffico internet deviato verso i server dei malintenzionati:

kaspersky-lab-2

Da dove proviene la minaccia

Le due app infette da Switcher sono molto simili a quelle originali a cui si rifanno – un client per il social network cinese Baidu e un'app per la condivisione su reti WiFi – e sono distribuite da un sito creato appositamente per ingannare gli ignari utenti. I malintenzionati hanno messo su due server DNS diversi, per fare in modo che, nel caso uno dei due venga disattivato, ce ne sia sempre un altro in grado di gestire le connessioni.

Nikita Buchka, esperto di sicurezza mobile di Kaspersky Lab, spiega in questo modo quanto sia pericoloso il trojan in questione.

Il trojan Switcher indica una nuova tendenza negli attacchi ai network e ai dispositivi connessi. Non colpisce direttamente gli utenti, ma li trasforma in complici involontari: spostando fisicamente le fonti d’infezione. Il trojan prende di mira l’intera rete, esponendo tutti i suoi utenti – che si tratti di persone o di aziende – a una vasta gamma di attacchi, tra cui il phishing e ulteriori infezioni. Un attacco andato a buon fine può essere difficile da rilevare e ancora più difficile da fermare: le nuove impostazioni possono sopravvivere al riavvio del router e anche se il DNS dannoso viene disabilitato, il secondo server DNS è pronto a proseguire. Proteggere i dispositivi è sempre importante, ma in un mondo connesso non possiamo permetterci di sottovalutare la vulnerabilità dei router e delle reti wi-fi.

da Nikita Buchka, Kaspersky Lab

Verificare se si è stati colpiti

Per capire se anche voi siete stati vittima di un'infezione da parte di Switcher, dovete controllare se nelle impostazioni dei server DNS del vostro router ci siano i seguenti indirizzi:

  • 101.200.147.153
  • 112.33.13.11
  • 120.76.249.59

Nel caso in cui uno di questi fosse presente, vi invitiamo a contattare l'assistenza del vostro provider e provare a cambiare questi settaggi. Inoltre, consigliamo sempre di cambiare username e password di default del proprio router, perché in questo modo ci sono meno possibilità di subire violazioni o infezioni da parte di malintenzionati.

Se volete leggere maggiori informazioni e spiegazioni più tecniche riguardo al trojan Switcher, potete visitare la pagina dedicata a questo indirizzo.

Mostra i commenti