CONOCIMIENTO pertenece al mundo
Recientemente, en nuestra búsqueda sin fin de proteger al mundo contra el malware, hemos encontrado un troyano Android porta mal. A pesar de que el malware que ataca el sistema operativo Android dejó de ser una novedad hace bastante tiempo, este troyano es bastante único. En lugar de atacar a un usuario, que ataca a la red Wi-Fi que el usuario está conectado a, o, para ser más precisos, el router inalámbrico que sirve a la red. El troyano, denominado Trojan.AndroidOS.Switcher, realiza una contraseña de fuerza bruta adivinar ataque a la interfaz web de administración del router. Si el ataque tiene éxito, el malware cambia las direcciones de los servidores DNS en la configuración del router, cambios de ruta de esta manera todas las consultas DNS de los dispositivos de la red Wi-Fi atacado a los servidores de los delincuentes (tal ataque es también conocido como DNS-secuestro ). Por lo tanto, vamos a explicar en detalle cómo Switcher lleva a cabo sus ataques de fuerza bruta, se mete en los routers y lleva a cabo su DNS-secuestro.
PEQUEÑOS FALSIFICACIONES INTELIGENTES
Hasta la fecha, hemos visto dos versiones del troyano:
- acdb7bfebf04affd227c93c97df536cf; nombre del paquete - com.baidu.com
- 64490fbecefa3fcdacd41995887fe510; nombre del paquete - com.snda.wifi
La primera versión (com.baidu.com), se disfraza como un cliente móvil para el motor de búsqueda chino Baidu, sólo tiene que abrir una URL http://m.baidu.com dentro de la aplicación. La segunda versión es una versión falsa bien hecha de una aplicación popular china (http://www.coolapk.com/apk/com.snda.wifilocating) para compartir información acerca de las redes Wi-Fi (inclusive la contraseña de seguridad) entre los usuarios de la aplicación. se utiliza dicha información, por ejemplo, los viajeros de negocios para conectarse a una red Wi-Fi pública para los que no conocen la contraseña. Es un buen lugar para ocultar malware que ataca routers, ya que los usuarios de este tipo de aplicaciones suelen conectar con muchas redes Wi-Fi, difundiendo así la infección.
 |  |
Los cibercriminales incluso crearon una página web (aunque mal hecho) para anunciar y distribuir la versión falsa de la mencionada com.snda.wifilocating. El servidor web que aloja el sitio también es utilizado por los autores de malware como el servidor (C & C)-mando y control.
EL PROCESO DE INFECCIÓN
El troyano realiza las siguientes acciones:
- Obtiene el BSSID de la red e informa al C & C que el troyano se activa en una red con este BSSID
- Trata de hacer que el nombre del ISP (Internet Service Provider) y lo usa para determinar qué servidor DNS malicioso será utilizado para DNS-secuestro. Hay tres posibles servidores DNS - 101.200.147.153, 112.33.13.11 y 120.76.249.59; con 101.200.147.153 siendo la opción por defecto, mientras que los otros serán elegidos sólo para los ISP específicos
- Lanza un ataque de fuerza bruta con el siguiente diccionario predefinido de nombres de usuario y contraseñas:
- Administrador: 00000000
- administrador: admin
- Administrador: 123456
- Administrador: 12345678
- Administrador: 123456789
- Administrador: 1234567890
- Administrador: 66668888
- Administrador: 1111111
- Administrador: 88888888
- Administrador: 666666
- Administrador: 87654321
- Administrador: 147258369
- Administrador: 987654321
- Administrador: 66666666
- Administrador: 112233
- Administrador: 888888
- Administrador: 000000
- Administrador: 5201314
- Administrador: 789456123
- Administrador: 123123
- Administrador: 789456123
- Administrador: 0123456789
- Administrador: 123456789a
- Administrador: 11223344
- Administrador: 123123123
El troyano obtiene la dirección de puerta de enlace predeterminada y luego intenta acceder a él en el navegador integrado. Con la ayuda de JavaScript que intenta iniciar sesión utilizando diferentes combinaciones de nombres de usuario y contraseñas. A juzgar por los nombres codificados de campos de entrada y las estructuras de los documentos HTML que el troyano intenta el acceso, el código JavaScript utilizado sólo funcionará en interfaces web de los routers TP-LINK Wi-Fi
- Si el intento de obtener acceso a la interfaz de administración tiene éxito, el troyano navega a los ajustes WAN e intercambia el servidor DNS principal para un DNS malicioso controlado por los delincuentes, y un DNS secundario con 8.8.8.8 (el Google DNS, para asegurar la estabilidad en curso si el DNS malicioso se cae). El código que realiza estas acciones es un completo desastre, ya que fue diseñado para trabajar en una amplia gama de routers y trabaja en modo asíncrono. Sin embargo, voy a mostrar cómo funciona, usando una captura de pantalla de la interfaz web y mediante la colocación de las piezas correctas del código sucesivamente.
- Si la manipulación con las direcciones DNS se ha realizado correctamente, el troyano informar su éxito a la C & C
ASÍ QUE, POR QUÉ ES MALO?
Para apreciar el impacto de tales acciones es crucial para entender los principios básicos de cómo funciona DNS. El DNS se utiliza para resolver un nombre legible de la red de recursos (por ejemplo, sitio web) en una dirección IP que se utiliza para las comunicaciones reales en la red informática. Por ejemplo, el nombre de "google.com" se resuelve en la dirección IP 87.245.200.153. En general, una consulta DNS normal se realiza de la siguiente manera:
Cuando se utiliza DNS-secuestro, los criminales cibernéticos cambian de la víctima (que en nuestro caso es el router) los valores de TCP / IP para obligarlo a realizar consultas DNS a un servidor DNS controlados por ellos - un servidor DNS malicioso. Por lo tanto, el esquema se convertirá en esto:
Como se puede ver, en lugar de comunicarse con el google.com real, la víctima se deje engañar en comunicación con un recurso de red completamente diferente. Esto podría ser una falsa google.com, el ahorro de todas sus solicitudes de búsqueda y enviarlos a los delincuentes, o simplemente podría ser un sitio web al azar con un montón de anuncios pop-up o malware. O algo más. Los atacantes hacerse con el control casi completo sobre el tráfico de red que utiliza el sistema de nombres de resolución de (que incluye, por ejemplo, todo el tráfico web).
Usted puede preguntar - ¿por qué es importante: los routers no navegar por sitios web, por lo que ¿dónde está el riesgo? Por desgracia, la configuración más común entre los routers Wi-Fi implica la realización de la configuración DNS de los dispositivos conectados a él mismo como su propia, lo que obliga a todos los dispositivos de la red utilizan el mismo DNS malicioso. Así, después de obtener acceso a la configuración DNS de un router se puede controlar casi todo el tráfico en la red servida por este router.
Los delincuentes no eran lo suficientemente cautos y dejaron sus estadísticas infección interna en la parte abierta de la página web de C & C.
Según ellos, se infiltraron con éxito 1.280 redes Wi-Fi. Si esto es cierto, el tráfico de todos los usuarios de estas redes es susceptible de cambio de dirección.
CONCLUSIÓN
El Trojan.AndroidOS.Switcher no ataca directamente a los usuarios. En lugar de ello, se dirige a toda la red, la exposición de todos sus usuarios de una amplia gama de ataques - de suplantación de identidad a la infección secundaria. El principal peligro de la manipulación de tales configuración routers 'es que la nueva configuración sobrevivirán incluso un reinicio del router, y es muy difícil de descubrir que el DNS ha sido secuestrado. Incluso si los servidores DNS malicioso están desactivadas durante algún tiempo, se utilizará el DNS secundario que se establece en 8.8.8.8, para que los usuarios y / o no será alertado.
Fuente: https: //securelist.com
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario