Недавно, в рамках нашей постоянной миссии по защите мира от вредоносных программ, мы обнаружили «непослушного» трояна для Android. Хотя вредоносное ПО, атакующее эту операционную систему, уже давно перестало быть новинкой, рассматриваемый троян совершенно уникален. Вместо того чтобы атаковать пользователя, он атакует сеть Wi-Fi, с которой он связан, и, в частности, беспроводной маршрутизатор, который его поддерживает. Этот троян - Trojan.AndroidOS.Switcher - выполняет атаку, основанную на «принудительном» угадывании паролей к сетевому интерфейсу администратора роутера. Если атака завершается успешно, вредоносная программа изменяет адреса DNS-серверов в настройках маршрутизатора, в результате чего все DNS-запросы от устройств в уязвимой сети Wi-Fi перенаправляются на киберпреступные серверы (этот тип атаки также называется перехватом DNS). Итак, давайте подробно объясним, как Switcher выполняет свои атаки методом грубой силы, попадает в маршрутизаторы и выполняет захват DNS.

Умные маленькие подделки

До сих пор мы видели две версии обсуждаемого троянца:

• acdb7bfebf04affd227c93c97df536cf; название пакета - com.baidu.com
• 64490fbecefa3fcdacd41995887fe510; название пакета - com.snda.wifi

Первая версия (com.baidu.com) маскируется как мобильный клиент китайской поисковой системы Baidu, просто открыв URL http://m.baidu.com внутри приложения. Вторая версия - это хорошо сделанная ложная версия популярного китайского приложения (http://www.coolapk.com/apk/com.snda.wifilocating) для обмена информацией о сетях Wi-Fi (включая пароль безопасности) между пользователями приложения. Эта информация используется, например, деловыми путешественниками для подключения к общедоступной сети Wi-Fi, к которой они не знают пароль. Это хорошее место, чтобы скрыть вредоносные программы, атакующие маршрутизаторы, поскольку пользователи таких приложений обычно подключаются к нескольким сетям Wi-Fi, тем самым распространяя заражение.

Киберпреступники даже создали веб-сайт (хотя его реализация оставляет желать лучшего), чтобы рекламировать и распространять вышеупомянутую поддельную версию com.snda.wifilocating. Веб-сервер, на котором размещен этот веб-сайт, также используется авторами вредоносных программ в качестве управляющего сервера (C & C).

Инфекционный процесс

Троянец выполняет следующие действия:

1. Получает BSSID сети и уведомляет центр управления, что он активирован в сети с этим BSSID.
2. Он пытается получить имя интернет-провайдера (ISP) и использует его, чтобы определить, какой поддельный DNS-сервер использовать для перехвата DNS. Существует три возможных DNS-сервера - 101.200.147.153, 112.33.13.11 и 120.76.249.59; сервер по умолчанию - 101.200.147.153, остальные будут выбраны только для определенных интернет-провайдеров
3. Он выполняет принудительную атаку, используя следующий предопределенный словарь логинов и паролей:
   • админ: 00000000
   • админ: админ
   • админ: 123456
   • админ: 12345678
   • админ: 123456789
   • админ: 1234567890
   • админ: 66668888
   • админ: 1111111
   • админ: 88888888
   • админ: 666666
   • админ: 87654321
   • админ: 147258369
   • админ: 987654321
   • админ: 66666666
   • админ: 112233
   • админ: 888888
   • админ: 000000
   • админ: 5201314
   • админ: 789456123
   • админ: 123123
   • админ: 789456123
   • админ: 0123456789
   • админ: 123456789A
   • админ: 11223344
   • админ: 123123123

Троянец получает адрес шлюза по умолчанию и затем пытается получить к нему доступ во встроенном браузере. Используя JavaScript, он пытается войти, используя различные комбинации логинов и паролей. Судя по жестко закодированным полям данных и структурам документов HTML, к которым пытается обратиться троян, используемый код JavaScript будет работать только в сетевых интерфейсах TP-LINK маршрутизаторов Wi-Fi.

1. Если попытка получить доступ к интерфейсу администратора успешна, троянец переходит к настройкам WAN и заменяет исходный DNS-сервер поддельным, контролируемым киберпреступниками, и вспомогательным DNS-сервером (для обеспечения бесперебойной стабильности при отключении ложного DNS). Код, выполняющий эти действия, имеет много недостатков, поскольку он предназначен для множества различных маршрутизаторов и работает в асинхронном режиме. Тем не менее я покажу вам, как работает этот код, используя снимок экрана сетевого интерфейса и последовательно представив соответствующие части кода.

5. Если манипуляция DNS-адресами прошла успешно, троянец сообщает об этом на сервер управления

Чтобы понять эффект описанных действий, необходимо знать основные правила работы DNS. DNS используется для буквального перевода названия сетевого ресурса (например, веб-сайта) в IP-адрес, используемый для фактической связи в компьютерной сети. Например, имя «google.com» будет переведено на IP-адрес 87.245.200.153. Обычно обычный DNS-запрос выполняется следующим образом:

Выполняя перехват DNS, злоумышленники изменяют настройки TCP / IP жертвы (в нашем случае это маршрутизатор), чтобы заставить его отправлять запросы DNS на DNS-сервер, которым он управляет, - поддельный DNS-сервер. Таким образом, приведенная выше диаграмма изменится на следующее:

Как вы можете видеть, вместо того, чтобы общаться с реальным сайтом google.com, жертва будет обманута, чтобы связаться с совершенно другим сетевым ресурсом. Это может быть поддельная страница google.com, которая сохраняет все поисковые запросы и отправляет их киберпреступникам, или случайный веб-сайт, содержащий всплывающую рекламу или вредоносное ПО. Или что-то еще. Злоумышленники получают практически полный контроль над сетевым трафиком, который использует такую ​​систему разрешения имен (которая включает, например, весь сетевой трафик).

Возможно, вы задаетесь вопросом - почему это так важно: маршрутизаторы не просматривают веб-сайты, так в чем же риски? К сожалению, в соответствии с наиболее распространенной конфигурацией устройства принимают настройки DNS маршрутизаторов Wi-Fi, к которым они подключены, поэтому все устройства в сети вынуждены использовать один и тот же поддельный DNS-сервер. Таким образом, после доступа к настройкам DNS маршрутизатора вы можете контролировать практически весь трафик в сети, поддерживаемый этим маршрутизатором.

Киберпреступники не были достаточно осторожны и оставили свою внутреннюю статистику по заражению в открытой части веб-сайта C & C.

Данные киберпреступников показывают, что им удалось проникнуть в 1 280 сетей Wi-Fi. Если это так, трафик всех пользователей этих сетей может быть перенаправлен.

конец

Trojan.AndroidOS.Switcher не атакует пользователей напрямую. Вместо этого он атакует всю сеть, подвергая всех пользователей широкому спектру атак - от фишинга до вторичного заражения. Основная опасность таких манипуляций с настройками маршрутизатора заключается в том, что новые настройки сохранятся даже после перезагрузки маршрутизатора, и очень трудно обнаружить перехват DNS. Даже если поддельные DNS-серверы на некоторое время отключены, будет использоваться вспомогательный сервер, настроенный на 8.8.8.8, поэтому пользователи и / или ИТ-отдел не будут предупреждены.

Мы рекомендуем всем пользователям проверять свои настройки DNS и искать следующие поддельные DNS-серверы:

• 101200147153
• 112.33.13.11
• 120.76.249.59

Если у вас есть один из этих серверов в настройках DNS, обратитесь в службу поддержки вашего интернет-провайдера или уведомите владельца сети Wi-Fi. «Лаборатория Касперского» настоятельно рекомендует пользователям изменить свои логин и пароль по умолчанию для интерфейса сетевого администратора роутера, чтобы предотвратить будущие атаки.

Похожие