• Главная
  • Карта сайта
Не найдено

Switcher: Android присоединяется к группе устройств, атакующих сетевое оборудование

Недавно, в рамках нашей постоянной миссии по защите мира от вредоносных программ, мы обнаружили «непослушного» трояна для Android. Хотя вредоносное ПО, атакующее эту операционную систему, уже давно перестало быть новинкой, рассматриваемый троян совершенно уникален. Вместо того чтобы атаковать пользователя, он атакует сеть Wi-Fi, с которой он связан, и, в частности, беспроводной маршрутизатор, который его поддерживает. Этот троян - Trojan.AndroidOS.Switcher - выполняет атаку, основанную на «принудительном» угадывании паролей к сетевому интерфейсу администратора роутера. Если атака завершается успешно, вредоносная программа изменяет адреса DNS-серверов в настройках маршрутизатора, в результате чего все DNS-запросы от устройств в уязвимой сети Wi-Fi перенаправляются на киберпреступные серверы (этот тип атаки также называется перехватом DNS). Итак, давайте подробно объясним, как Switcher выполняет свои атаки методом грубой силы, попадает в маршрутизаторы и выполняет захват DNS.

Умные маленькие подделки

До сих пор мы видели две версии обсуждаемого троянца:

  • acdb7bfebf04affd227c93c97df536cf; название пакета - com.baidu.com
  • 64490fbecefa3fcdacd41995887fe510; название пакета - com.snda.wifi

Первая версия (com.baidu.com) маскируется как мобильный клиент китайской поисковой системы Baidu, просто открыв URL http://m.baidu.com внутри приложения. Вторая версия - это хорошо сделанная ложная версия популярного китайского приложения (http://www.coolapk.com/apk/com.snda.wifilocating) для обмена информацией о сетях Wi-Fi (включая пароль безопасности) между пользователями приложения. Эта информация используется, например, деловыми путешественниками для подключения к общедоступной сети Wi-Fi, к которой они не знают пароль. Это хорошее место, чтобы скрыть вредоносные программы, атакующие маршрутизаторы, поскольку пользователи таких приложений обычно подключаются к нескольким сетям Wi-Fi, тем самым распространяя заражение.

Киберпреступники даже создали веб-сайт (хотя его реализация оставляет желать лучшего), чтобы рекламировать и распространять вышеупомянутую поддельную версию com.snda.wifilocating. Веб-сервер, на котором размещен этот веб-сайт, также используется авторами вредоносных программ в качестве управляющего сервера (C & C).

Инфекционный процесс

Троянец выполняет следующие действия:

  1. Получает BSSID сети и уведомляет центр управления, что он активирован в сети с этим BSSID.
  2. Он пытается получить имя интернет-провайдера (ISP) и использует его, чтобы определить, какой поддельный DNS-сервер использовать для перехвата DNS. Существует три возможных DNS-сервера - 101.200.147.153, 112.33.13.11 и 120.76.249.59; сервер по умолчанию - 101.200.147.153, остальные будут выбраны только для определенных интернет-провайдеров
  3. Он выполняет принудительную атаку, используя следующий предопределенный словарь логинов и паролей:
    • админ: 00000000
    • админ: админ
    • админ: 123456
    • админ: 12345678
    • админ: 123456789
    • админ: 1234567890
    • админ: 66668888
    • админ: 1111111
    • админ: 88888888
    • админ: 666666
    • админ: 87654321
    • админ: 147258369
    • админ: 987654321
    • админ: 66666666
    • админ: 112233
    • админ: 888888
    • админ: 000000
    • админ: 5201314
    • админ: 789456123
    • админ: 123123
    • админ: 789456123
    • админ: 0123456789
    • админ: 123456789A
    • админ: 11223344
    • админ: 123123123

Троянец получает адрес шлюза по умолчанию и затем пытается получить к нему доступ во встроенном браузере. Используя JavaScript, он пытается войти, используя различные комбинации логинов и паролей. Судя по жестко закодированным полям данных и структурам документов HTML, к которым пытается обратиться троян, используемый код JavaScript будет работать только в сетевых интерфейсах TP-LINK маршрутизаторов Wi-Fi.

  1. Если попытка получить доступ к интерфейсу администратора успешна, троянец переходит к настройкам WAN и заменяет исходный DNS-сервер поддельным, контролируемым киберпреступниками, и вспомогательным DNS-сервером (для обеспечения бесперебойной стабильности при отключении ложного DNS). Код, выполняющий эти действия, имеет много недостатков, поскольку он предназначен для множества различных маршрутизаторов и работает в асинхронном режиме. Тем не менее я покажу вам, как работает этот код, используя снимок экрана сетевого интерфейса и последовательно представив соответствующие части кода.

Тем не менее я покажу вам, как работает этот код, используя снимок экрана сетевого интерфейса и последовательно представив соответствующие части кода

5. Если манипуляция DNS-адресами прошла успешно, троянец сообщает об этом на сервер управления

Чтобы понять эффект описанных действий, необходимо знать основные правила работы DNS. DNS используется для буквального перевода названия сетевого ресурса (например, веб-сайта) в IP-адрес, используемый для фактической связи в компьютерной сети. Например, имя «google.com» будет переведено на IP-адрес 87.245.200.153. Обычно обычный DNS-запрос выполняется следующим образом:

Выполняя перехват DNS, злоумышленники изменяют настройки TCP / IP жертвы (в нашем случае это маршрутизатор), чтобы заставить его отправлять запросы DNS на DNS-сервер, которым он управляет, - поддельный DNS-сервер. Таким образом, приведенная выше диаграмма изменится на следующее:

Как вы можете видеть, вместо того, чтобы общаться с реальным сайтом google.com, жертва будет обманута, чтобы связаться с совершенно другим сетевым ресурсом. Это может быть поддельная страница google.com, которая сохраняет все поисковые запросы и отправляет их киберпреступникам, или случайный веб-сайт, содержащий всплывающую рекламу или вредоносное ПО. Или что-то еще. Злоумышленники получают практически полный контроль над сетевым трафиком, который использует такую ​​систему разрешения имен (которая включает, например, весь сетевой трафик).

Возможно, вы задаетесь вопросом - почему это так важно: маршрутизаторы не просматривают веб-сайты, так в чем же риски? К сожалению, в соответствии с наиболее распространенной конфигурацией устройства принимают настройки DNS маршрутизаторов Wi-Fi, к которым они подключены, поэтому все устройства в сети вынуждены использовать один и тот же поддельный DNS-сервер. Таким образом, после доступа к настройкам DNS маршрутизатора вы можете контролировать практически весь трафик в сети, поддерживаемый этим маршрутизатором.

Киберпреступники не были достаточно осторожны и оставили свою внутреннюю статистику по заражению в открытой части веб-сайта C & C.

Данные киберпреступников показывают, что им удалось проникнуть в 1 280 сетей Wi-Fi. Если это так, трафик всех пользователей этих сетей может быть перенаправлен.

конец

Trojan.AndroidOS.Switcher не атакует пользователей напрямую. Вместо этого он атакует всю сеть, подвергая всех пользователей широкому спектру атак - от фишинга до вторичного заражения. Основная опасность таких манипуляций с настройками маршрутизатора заключается в том, что новые настройки сохранятся даже после перезагрузки маршрутизатора, и очень трудно обнаружить перехват DNS. Даже если поддельные DNS-серверы на некоторое время отключены, будет использоваться вспомогательный сервер, настроенный на 8.8.8.8, поэтому пользователи и / или ИТ-отдел не будут предупреждены.

Мы рекомендуем всем пользователям проверять свои настройки DNS и искать следующие поддельные DNS-серверы:

  • 101200147153
  • 112.33.13.11
  • 120.76.249.59

Если у вас есть один из этих серверов в настройках DNS, обратитесь в службу поддержки вашего интернет-провайдера или уведомите владельца сети Wi-Fi. «Лаборатория Касперского» настоятельно рекомендует пользователям изменить свои логин и пароль по умолчанию для интерфейса сетевого администратора роутера, чтобы предотвратить будущие атаки.

Похожие

Как получить доступ к файловому менеджеру Android 6.0 Marshmallow
Джош Миллер / CNET Нет недостатка в приложениях для управления файлами на устройствах Android. Astro Файловый менеджер уже давно мой личный фаворит, хотя магазин Play полон достойных альтернатив. Тем не менее, Google включил файловый менеджер в Android 6.0 Marshmallow, как указано
Как создать компас в коде Android
Сегодня я расскажу об очень простом компасе в коде Android, который вы можете использовать при создании приложения с функцией компаса. Приятно видеть,
Sony Xperia E3 - самый дешевый телефон Android от Sony
С новым Xperia Z3 Sony объединила некоторые из лучших мобильных технологий, когда-либо изобретенных, в великолепный, тощий, водонепроницаемый корпус. Поэтому, естественно, это будет смехотворно дорого. Однако, если вам нужен красивый телефон для повседневных основ, Sony не забыла вас. Xperia E3 - это 4,6-дюймовый телефон Android KitKat со стилем, очень напоминающим более дорогой Xperias, но, по всей видимости, он станет
Флэш-продажа: Samsung Galaxy S8 Plus всего за $ 380 (сделка заканчивается в полночь!)
Samsung Galaxy S8 Plus нуждается в небольшом представлении. Выпущенный в апреле прошлого года, этот бывший флагман по-прежнему пользуется популярностью у многих поклонников Android. Прямо сейчас,
NOC виджет | Поддержка LogicMonitor
Виджет NOC позволяет быстро оценить состояние группы, устройства, приложения или веб-сайта. Вы можете: Выберите конкретные уровни оповещения для отображения. Включите группы устройств, устройства, источники данных, экземпляры, точки данных, веб-сайты и группы веб-сайтов. Смотрите объекты, которые функционируют в нормальных диапазонах, обозначенных зеленым. Включить пользовательскую информацию в названия предметов. Создать виджет NOC
[Бесплатно] WinX YouTube Downloader | Скачать YouTube MP4, 4K видео, MP3
БЕСПЛАТНЫЙ WinX YouTube Downloader Пакетная загрузка 1000+ URL Поддержка YouTube Playlist / Channel Запись живого видео Нет объявлений при установке Поддерживаемые ОС: Windows 10 (32 и 64 бит) и ниже - Получить трейлер, саундтрек или любой медиа материал в одно мгновение. - захват видео до 8K в качестве. YouTube SoundCloud facebook Dailymotion Metacafe
Кое-что для всех. Xiaomi предоставила нам огромный выбор телефонов в 2018 году.
Удивительно, как развивалась эта компания. Что особенно радует, так это то, что он все больше желает представить свои магазины и продукты в нашей стране. Здесь представлены все телефоны Xiaomi, появившиеся до сих пор в 2018 году. Почему-то мы не в пути. Это означает, что я и Xiaomi. У меня уже было несколько телефонов этой марки в моих руках, и они почему-то никогда не возникали между нами, несмотря на их низкие цены. Однако это явление
Спойл-спорт среди Moto Gs
... устройства начального уровня. Задняя крышка выдвигает его вперед, но вспомогательный прицел возвращает его на землю. Одиночный рейтинг Дизайн: 2,5 / 5 дисплей Lenovo устанавливает дисплей с диагональю 5 дюймов и разрешением HD 720 x 1280 пикселей. Для повседневной жизни разрешения вполне достаточно. Дисплей гурманов сможет побеждать на экране, но мало. Частично это связано со сравнительно низкой плотностью пикселей более 290
Инструкции по настройке управления компьютером в Windows 8 на компьютере Dell
... оборудование на вашем компьютере. Измените настройки конфигурации оборудования Определите драйвер устройства для каждого загружаемого устройства, и для получения информации должны присутствовать все драйверы устройств. Измените расширенные настройки и свойства для устройств. Установка обновленных драйверов устройств Включить, отключить и удалить устройства Откат к предыдущей версии драйвера Просмотр устройств по типу, используя
Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью