Switcher: Trojan che attacca le WiFi casalinghe!

Gli esperti di Kaspersky Lab hanno recentemente scovato una nuova minaccia alla sicurezza che sfrutta smartphone e tablet con sistema operativo Android. Il nome di questa minaccia è Switcher ed è un trojan che, pare, ha già colpito più di 1.280 reti WiFi soprattutto in Cina.
Il Malware non colpisce direttamente i dispositivi Android e non è facilmente identificabile su questi terminali. Infatti l’obbiettivo di Switcher altro non sono che le reti WiFi casalinghe raggiunte dall’infezione grazie ai dispositivi precedentemente infettati.

Tutto parte dal codice malevolo contenuto in alcune app per Android che, una volta installate sul dispositivo, permettono al malware di attaccare le reti WiFi cui è collegato. Attraverso il metodo “forza bruta” l’app tenta di hackerare il router nel tentativo di scovarne la password. Trovata la stessa, Switcher cambia gli indirizzi DNS indirizzando tutto il traffico internet verso siti per niente sicuri.
Ecco come si presenta la situazione prima dell’attacco in un contesto normale:
Mentre questa è la situazione della rete dopo l’infezione, con il traffico deviato verso server pericolosi: 
La minaccia, a quanto pare, proviene da due app infette molto simili alle originali alle quali si rifanno. Un client per il social network cinese Baidu e un’app per la condivisione su reti WiFi. Queste applicazioni sono distribuite da un sito creato appositamente per ingannare gli ignari utenti. I malintenzionati, inoltre, hanno messo due server DNS diversi in modo che, nel caso uno venga disattivato, ce ne sia sempre un altro in grado di gestire le connessioni.
Nikita Buchka, esperto di sicurezza mobile di Kaspersky Lab spiega in questo modo quanto il trojan possa essere pericoloso:

Il trojan Switcher indica una nuova tendenza negli attacchi ai network e ai dispositivi connessi. Non colpisce direttamente gli utenti, ma li trasforma in complici involontari: spostando fisicamente le fonti d’infezione. Il trojan prende di mira l’intera rete, esponendo tutti i suoi utenti – che si tratti di persone o di aziende – a una vasta gamma di attacchi, tra cui il phishing e ulteriori infezioni. Un attacco andato a buon fine può essere difficile da rilevare e ancora più difficile da fermare: le nuove impostazioni possono sopravvivere al riavvio del router e anche se il DNS dannoso viene disabilitato, il secondo server DNS è pronto a proseguire. Proteggere i dispositivi è sempre importante, ma in un mondo connesso non possiamo permetterci di sottovalutare la vulnerabilità dei router e delle reti wi-fi.

Nikita Buchka, Kaspersky Lab

E’ possibile inoltre verificare facilmente se si è stati già vittima dell’attacco. Basta controllare se nelle impostazioni dei server DNS del proprio router compaiono i seguenti indirizzi:

  • 101.200.147.153
  • 112.33.13.11
  • 120.76.249.59

Nel caso in cui uno di questi fosse presente sarebbe necessario contattare l’assistenza del proprio provider nel tentativo di cambiare queste impostazioni. Inoltre, come è ovvio, cambiare la password e l’username di default del proprio router è un ottimo modo per rendere più difficoltoso questo nuovo tipo di attacchi.

Vai alla barra degli strumenti