Nuevo malware de Android secuestra los DNS del router desde el smartphone

- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 2068 veces
El malware Switcher lleva a cabo un ataque de Fuerza Bruta contra el router
Otro día, otro espeluznante malware para los usuarios de Android!
Los investigadores han descubierto un nuevo malware para Android dirigido a sus dispositivos, pero esta vez en lugar de atacar directamente al smartphone, el malware se encarga del router WiFi al que está conectado y, a continuación, secuestra el tráfico web que pasa a través de él.
Apodado "Switcher" (Conmutador), el nuevo malware para Android, descubierto por investigadores de Kaspersky Lab, hackea los routers inalámbricos y cambia la configuración de los DNS para redirigir el tráfico a sitios web maliciosos.
Hace más de una semana, investigadores de Proofpoint descubrieron un ataque de similar orientación a PCs pero, en vez de infectar las máquinas, el Stegano exploit kit toma control sobre los routers WiFi locales a que está conectado el dispositivo infectado.
El malware Switcher lleva a cabo un ataque de fuerza bruta contra el router
Los hackers están distribuyendo el troyano Switcher disfrazándole como una aplicación para Android para el motor de búsqueda chino Baidu (com.baidu.com), y como una aplicación china para compartir detalles de la red Wi-Fi pública y privada (com.snda.wifilocating).
Una vez que la víctima instala una de estas aplicaciones malintencionadas, el malware Switcher intenta iniciar sesión en el router WiFi al que está conectado el dispositivo Android de la víctima mediante un ataque de fuerza bruta en la interfaz web de administración del router con un conjunto de un diccionario predefinido (lista) de nombres de usuario y contraseñas.
"Con la ayuda de JavaScript [Switcher] intenta iniciar sesión utilizando diferentes combinaciones de nombres de usuario y contraseñas", dice en una entrada de blog publicada ayer el experto en seguridad móvil Nikita Buchka de Kaspersky Lab.
"A juzgar por los nombres codificados de los campos de entrada y las estructuras de los documentos HTML a los que el troyano intenta acceder, el código JavaScript utilizado funcionará únicamente en las interfaces web de los enrutadores Wi-Fi TP-LINK".
El malware Switcher infecta routers a través del secuestro de DNS
Una vez que accede a la interfaz de administración web, el troyano Switcher reemplaza los servidores DNS primario y secundario del router con direcciones IP que apuntan a servidores DNS maliciosos controlados por los atacantes.
Los investigadores dijeron que Switcher había utilizado tres direcciones IP diferentes - 101.200.147.153, 112.33.13.11 y 120.76.249.59 - como el registro DNS principal, uno es el predeterminado mientras que los otros dos se establecen para proveedores de servicios de Internet específicos.
Debido al cambio en la configuración DNS del router, todo el tráfico se redirige a sitios web maliciosos alojados en servidores propios de los atacantes, en lugar del sitio legítimo al que la víctima está intentando acceder.
"El troyano apunta a toda la red, exponiendo a todos sus usuarios, ya sean individuos o empresas, a una amplia gama de ataques - desde el phishing a la infección secundaria", dice el mensaje.
"Un ataque exitoso puede ser difícil de detectar y aún más difícil de cambiar: la nueva configuración puede sobrevivir a un reinicio del router, e incluso si está deshabilitado el DNS malicioso, el servidor DNS secundario está preparado para continuar".
Los investigadores pudieron acceder a los servidores de mando y control del atacante y descubrieron que el troyano Switcher malware ha comprometido casi 1.300 routers, principalmente en China y ha secuestrado el tráfico dentro de esas redes.
La línea de fondo
Los usuarios de Android deben descargar aplicaciones sólo del Google Play Store oficial.
Mientras que la descarga de aplicaciones de terceros no siempre termina con malware o virus, sin duda aumenta el riesgo. Por lo tanto, es la mejor manera de evitar que cualquier malware comprometa un dispositivo y las redes a las que accede.
También puedes ir a Configuración → Seguridad y asegúrate de que esté desactivada la opción "Fuentes desconocidas".
Además, los usuarios de Android también deben cambiar el inicio de sesión y las contraseñas predeterminadas de su router para que malware desagradable como Switcher o Mirai, no puedan comprometer los routers usando un ataque de fuerza bruta.
Artículos relacionados (por etiqueta)
- Cuidado: un nuevo malware de Android con gusanos se propaga a través de WhatsApp
- Ataque de botnet en curso aprovecha las vulnerabilidades recientes de Linux
- La NSA sugiere que las empresas utilicen solucionadores de DNS sobre HTTPS 'designados'
- Alarma ante un nuevo malware de Android vendido en foros de piratería
- SoReL-20M: un enorme conjunto de datos de 20 millones de muestras de malware publicadas en línea
- ¡Cuidado! Adrozek Malware secuestra navegadores Chrome, Firefox, Edge, Yandex
Lo último de Jesús Cáceres
- Cómo obtener información de ubicación de una dirección IP
- Cuidado: un nuevo malware de Android con gusanos se propaga a través de WhatsApp
- El plan de Twitter para descentralizar las redes sociales
- Google rediseña la búsqueda móvil en Android e iOS para que sea más fácil de leer
- Compartir un eBook con tu Kindle podría haber permitido a los hackers secuestrar tu cuenta
Deja tus comentarios
- Publicar comentario como invitado. Regístrate o ingresaa tu cuenta