Switcher: Android entra para o ‘clube de ataque’ a roteadores

CyberwarMobilidadeSegurançaSistema Operacional

Os ataques baseados em Android, que domina mais de 80% do mercado mundial de smartphones, estão cada vez mais sofisticados. A empresa de segurança Kaspersky Lab descobriu agora uma evolução notável em um malware para o sistema operacional da Google: o cavalo de Troia Switcher.

Ele utiliza usuários de dispositivos Android como uma ferramenta para infectar roteadores de Wi-Fi, alterando suas configurações de DNS e redirecionando o tráfego dos dispositivos conectados à rede para sites controlados pelos invasores. Assim, os usuários ficam vulneráveis a phishing, malware, adware e outros códigos maliciosos. Os invasores alegam ter se infiltrado em 1.280 redes sem fio até o momento, principalmente na China.

“O cavalo de Troia Switcher marca uma nova tendência perigosa em ataques para redes e dispositivos conectados. Ele não ataca diretamente os usuários. Em vez disso, ele os transforma em cúmplices involuntários, movendo fisicamente as fontes de infecção”, explica Nikita Buchka, especialista em segurança móvel da Kaspersky Lab. “O cavalo de Troia visa a rede inteira, expondo todos os usuários, tanto pessoas quanto empresas, a uma grande variedade de ataques – do phishing a infecções secundárias”, avisa.

Um ataque bem-sucedido do Switcher pode ser difícil de detectar e mudar, porque as novas configurações podem sobreviver à reinicialização do roteador e, mesmo que o DNS anômalo seja desativado, o servidor DNS secundário estará disponível para continuar.

Os servidores de nomes de domínio (DNS) convertem um endereço web legível, como ‘x.com’, em um endereço IP numérico necessário para a comunicação entre computadores. A capacidade do cavalo de Troia Switcher de sequestrar esse processo permite que os invasores tenham controle quase completo sobre as atividades de rede que usam o sistema de resolução de nomes, como o tráfego de internet. Essa abordagem funciona porque, em geral, os roteadores sem fio redefinem as configurações do DNS de todos os dispositivos na rede para suas próprias configurações, forçando assim o uso do mesmo DNS anômalo por todos.

Ataques contra roteadores foram registrados massivamente no Brasil entre os anos de 2011 e 2012, ocasião em que criminosos conseguiram alterar o DNS em mais de 4 milhões e meio de dispositivos. O ataque era remoto e silencioso, explorando falhas dos dispositivos. Escolher uma plataforma popular como o Android para fazer esse ataque tem um alcance considerável, pois no Brasil e no mundo essa é a plataforma móvel mais popular.

A infecção é disseminada aos usuários por meio do download de uma das duas versões do cavalo de Troia para Android em um site criado pelos invasores. A primeira versão é disfarçada como um cliente Android do mecanismo de pesquisa chinês Baidu, e a outra é uma versão falsa bem-feita de um aplicativo chinês de compartilhamento de informações sobre Wi-Fi:  WiFi万能钥匙.

Quando um dispositivo infectado se conecta a uma rede sem fio, o cavalo de Troia ataca o roteador e tenta forçar o caminho até a interface web do administrador, adivinhando a senha por meio de uma lista com combinações predefinidas de senhas e logins. Se a tentativa for bem-sucedida, o cavalo de Troia troca o servidor DNS existente por um servidor anômalo controlado pelos criminosos virtuais e também usa um DNS secundário a fim de garantir a estabilidade permanente, caso o DNS anômalo seja desativado.

Os invasores criaram um site para promover e distribuir o aplicativo de Wi-Fi com o cavalo de Troia para os usuários. O servidor Web que hospeda esse site é duplicado como servidor de comando e controle (C&C) dos criadores do malware. As estatísticas de infecção interna identificadas em uma parte aberta desse site revelam que as solicitações dos invasores comprometeram 1.280 sites e, possivelmente, expuseram todos os dispositivos conectados a eles a outros ataques e infecções.

A empresa recomenda que todos os usuários verifiquem suas configurações de DNS, procurando pelos seguintes servidores DNS anômalos:

  • 101.200.147.153
  • 112.33.13.11
  • 120.76.249.59

Se você tem um desses servidores em suas configurações de DNS, entre em contato com o suporte de seu provedor ou avise o proprietário da rede Wi-Fi. A Kaspersky Lab também recomenda que os usuários alterem o login e a senha padrão da interface web do administrador no roteador para evitar ataques semelhantes no futuro.

Mais pormenores sobre o Switcher, em inglês, nessa ligação.


Clique para ler a bio do autor  Clique para fechar a bio do autor