Nuevo malware de Android secuestra los DNS del router desde el smartphone

Apodado "Switcher" (Conmutador), el nuevo malware para Android, descubierto por investigadores de Kaspersky Lab, hackea los routers inalámbricos y cambia la configuración de los DNS para redirigir el tráfico a sitios web maliciosos.

Hace más de una semana, investigadores de Proofpoint descubrieron un ataque de similar orientación a PCs pero, en vez de infectar las máquinas, el Stegano exploit kit toma control sobre los routers WiFi locales a que está conectado el dispositivo infectado.

El malware Switcher lleva a cabo un ataque de fuerza bruta contra el router

Los hackers están distribuyendo el troyano Switcher disfrazándole como una aplicación para Android para el motor de búsqueda chino Baidu (com.baidu.com), y como una aplicación china para compartir detalles de la red Wi-Fi pública y privada (com.snda.wifilocating).

Una vez que la víctima instala una de estas aplicaciones malintencionadas, el malware Switcher intenta iniciar sesión en el router WiFi al que está conectado el dispositivo Android de la víctima mediante un ataque de fuerza bruta en la interfaz web de administración del router con un conjunto de un diccionario predefinido (lista) de nombres de usuario y contraseñas.

"Con la ayuda de JavaScript [Switcher] intenta iniciar sesión utilizando diferentes combinaciones de nombres de usuario y contraseñas", dice en una entrada de blog publicada ayer el experto en seguridad móvil Nikita Buchka de Kaspersky Lab.

"A juzgar por los nombres codificados de los campos de entrada y las estructuras de los documentos HTML a los que el troyano intenta acceder, el código JavaScript utilizado funcionará únicamente en las interfaces web de los enrutadores Wi-Fi TP-LINK".

El malware Switcher infecta routers a través del secuestro de DNS

Una vez que accede a la interfaz de administración web, el troyano Switcher reemplaza los servidores DNS primario y secundario del router con direcciones IP que apuntan a servidores DNS maliciosos controlados por los atacantes.

Los investigadores dijeron que Switcher había utilizado tres direcciones IP diferentes - 101.200.147.153, 112.33.13.11 y 120.76.249.59 - como el registro DNS principal, uno es el predeterminado mientras que los otros dos se establecen para proveedores de servicios de Internet específicos.

Debido al cambio en la configuración DNS del router, todo el tráfico se redirige a sitios web maliciosos alojados en servidores propios de los atacantes, en lugar del sitio legítimo al que la víctima está intentando acceder.

"El troyano apunta a toda la red, exponiendo a todos sus usuarios, ya sean individuos o empresas, a una amplia gama de ataques - desde el phishing a la infección secundaria", dice el mensaje.

"Un ataque exitoso puede ser difícil de detectar y aún más difícil de cambiar: la nueva configuración puede sobrevivir a un reinicio del router, e incluso si está deshabilitado el DNS malicioso, el servidor DNS secundario está preparado para continuar".

Los investigadores pudieron acceder a los servidores de mando y control del atacante y descubrieron que el troyano Switcher malware ha comprometido casi 1.300 routers, principalmente en China y ha secuestrado el tráfico dentro de esas redes.

La línea de fondo

Los usuarios de Android deben descargar aplicaciones sólo del Google Play Store oficial.

Mientras que la descarga de aplicaciones de terceros no siempre termina con malware o virus, sin duda aumenta el riesgo. Por lo tanto, es la mejor manera de evitar que cualquier malware comprometa un dispositivo y las redes a las que accede.

También puedes ir a Configuración → Seguridad y asegúrate de que esté desactivada la opción "Fuentes desconocidas".

Además, los usuarios de Android también deben cambiar el inicio de sesión y las contraseñas predeterminadas de su router para que malware desagradable como Switcher o Mirai, no puedan comprometer los routers usando un ataque de fuerza bruta.