Smartphone’dan Yeni Android Kötü Amaçlı Yazılım Hijacks Router DNS

Başka bir gün, Android kullanıcıları için başka bir ürpertici malware! Güvenlik Araştırmacıları, cihazlarınızı hedefleyen yeni bir Android kötü amaçlı yazılım ortaya çıkardı, ancak bu sefer doğrudan cihaza saldırmak yerine, kötü amaçlı yazılım, cihazınızın bağlı olduğu kablosuz yönlendirici üzerinden kontrolünü ele geçirir ve ardından web trafiğini iletir. Kaspersky Lab’deki araştırmacılar tarafından keşfedilen yeni Android kötü amaçlı yazılım ” Switcher “, kablosuz yönlendiricileri ele geçirir ve trafiği kötü amaçlı web sitelerine yönlendirmek için DNS ayarlarını değiştirir.

Bir hafta önce, Proofpoint araştırmacıları, PC’leri hedefleyen benzer saldırıları keşfettiler, ancak hedefin makinelerini etkilemek yerine Stegano istismar kiti , enfekte olmuş cihazın bağlı olduğu yerel WiFi yönlendiricileri üzerinde kontrolü ele geçiriyor .
Switcher Malware, Router’lara karşı Brute-Force saldırısı gerçekleştiriyor.  Hackerlar şu anda Switcher trojanını Çinli arama motoru Baidu (com.baidu.com) için bir Android uygulaması olarak ve kamu ve özel Wi-Fi ağ ayrıntılarını paylaşmak için bir Çince uygulama olarak gizleyerek dağıttılar (com.snda.wifilocating) . Kurban bir kez bu kötü niyetli uygulamalardan birini yükledikten sonra, Switcher kötü amaçlı yazılımı, kurbanın Android cihazının, önceden tanımlanmış bir sözlükle (router) yönetici web arayüzü üzerinde bir kaba kuvvet saldırısı gerçekleştirerek bağlandığı WiFi yönlendiricisine giriş yapmayı dener. kullanıcı adları ve şifreler.

Kaspersky Lab’in mobil güvenlik uzmanı Nikita Buchka, bugün yayınlanan bir blog yayınında “ JavaScript [ Switcher ] yardımıyla farklı oturum açma ve şifreler kombinasyonlarını kullanarak giriş yapmaya çalışır . “Giriş alanlarının kodlanmış adlarına ve trojanın erişmeye çalıştığı HTML belgelerinin yapılarına bakarak, kullanılan JavaScript kodu yalnızca TP-LINK Wi-Fi yönlendiricilerinin web arayüzlerinde çalışacaktır.”

Switcher Malware DNS Hijacking üzerinden Yönlendiriciler Infects
Web yönetim arayüzüne erişildiğinde, Switcher trojan yönlendiricinin birincil ve ikincil DNS sunucularını, saldırganlar tarafından kontrol edilen kötü niyetli DNS sunucularını işaret eden IP adresleriyle değiştirir. Araştırmacılar, Switcher’ın birincil DNS kaydı olarak üç farklı IP adresi kullandığını söyledi: – Birincil DNS kaydı, biri diğeri ise belirli internet servis sağlayıcıları için ayarlanmışken, varsayılan DNS kaydı.

Yönlendiricinin DNS ayarlarındaki değişiklik nedeniyle, tüm trafik, saldırganın erişmeye çalıştığı meşru site yerine saldırganların kendi sunucularında barındırılan kötü amaçlı web sitelerine yönlendirilir. Mesaj, “Truva, tüm kullanıcılarını, bireyleri veya işletmeleri, geniş çaplı saldırılara, kimlik avından sekonder enfeksiyona maruz bırakarak tüm ağı hedefliyor” diyor. “Başarılı bir saldırı tespit etmek zor hatta daha da zor olabilir: yeni ayarlar bir yönlendiricinin yeniden başlatılmasından kurtulabilir ve haydut DNS devre dışı bırakılmış olsa bile ikincil DNS sunucusu devam etmek için hazırdır.” Araştırmacılar saldırganın komuta ve kontrol sunucularına erişebildiler ve Switcher kötü amaçlı yazılım Truva’nın temelde Çin’deki 1.300 yönlendiriciyi ele geçirdiğini ve bu ağlardaki trafiği kaçırdığını gördü.

Android kullanıcılarının uygulamaları yalnızca resmi Google’ın Play Store’dan indirmesi gerekiyor. Üçüncü taraflardan uygulama indirmek her zaman kötü amaçlı yazılım veya virüsle sonuçlanmazken, kesinlikle riski üstlenir. Dolayısıyla, cihazınızı ve eriştiği ağları tehlikeye sokan kötü amaçlı yazılımlardan kaçınmanın en iyi yoludur.
Ayrıca, Ayarlar → Güvenlik’e gidebilir ve “Bilinmeyen kaynaklar” seçeneğinin kapalı olduğundan emin olabilirsiniz.
Ayrıca, Android kullanıcıları yönlendiricilerinin varsayılan giriş ve şifrelerini de değiştirmelidirler, böylece Switcher veya Mirai gibi kötü amaçlı yazılımlar, yönlendiricilerini bir kaba kuvvet saldırısı kullanarak tehlikeye alamazlar.