تروجان جدید اندروید، روترها را هدف قرار میدهد.
تروجان جدیدی بر روی سیستمعاملهای اندروید با استفاده از دستگاه قربانی، روترهای WiFi را آلوده میکند و تمامی کاربران آن شبکه را به سمت سایتهای مخرب هدایت میکند. این تروجان کاربران را به صورت مستقیم هدف قرار نمیدهد. بلکه از آنها جهت حملات مخرب خود به عنوان شریک جرم استفاده میکند.
محققان Kaspersky Lab که این بدافزار را یافتند و به آن لقب Switcher را دادند، ادعا کردند که تا به حال دو نسخه از این بدافزار را دیدهاند. با استفاده از هر دو این نسخهها مجرمان توانستند ۱۲۸۰ شبکهی وایرلس را که عموما در چین هستند، آلوده کنند. یکی از نسخهها، رفتاری مانند موتور جستوجوی چین «بایدو» را دارد و دیگری خود را در قالب برنامهای که میتوان از آن جهت مکانیابی و به اشتراکگذاری اطلاعات ورود WiFi نشان میدهد. به محض دانلود یکی از نسخهها توسط قربانی، این بدافزار حمله به روتر را شروع میکند.
این بدافزار رمز ورود به صفحهی تنظیمات روتر را با روش brut-force، که در واقع حدس زدنهای متناوب رمز عبور با سرعت بسیار زیاد است، حدس میزند و به محض ورود به این صفحه، آدرس DNS serverهای روتر را به سروری تحت فرمان هکرها تغییر میدهد. (دو سرور تنظیم شدهاند تا در صورت مشکل برای یکی از سرورها، از سرور دوم همچنان استفاده شود.)
با این تغییر، کاربران re-route میشوند و این قربانیان را در معرض حملات redirection، فیشینگ، بدافزارها و adwareها قرار میدهد. با این حال سازندگان این تروجان کمی در ایجاد ساختار Command & Control دست و پاچلفتی بودند. فهرست شبکههایی که آلوده شدهاند در سایت وجود دارد و به صورت public قابل رویت است.
پیشنهاد میکنیم تا حتما تنظیمات DNS شبکههای WiFi خود را چک کنید تا بر روی سرورهایی با آدرسهای ۱۰۱٫۲۰۰٫۱۴۷٫۱۵۳، ۱۱۲٫۳۳٫۱۳٫۱۱ و ۱۲۰٫۷۶٫۲۴۹٫۵۹ قرار نگرفته باشند. با چک کردن این تنظیمات همچنین تغییر دادن نام کاربری و رمزعبور پیشفرض صفحهی مدیریتی روتر را شدیدا توصیه میکنیم.
