新安卓惡意軟件從智能手機劫持路由器DNS

安全研究人員發現了一種新的安卓惡意軟件，其目標是你的設備，但這一次，該惡意軟件沒有直接攻擊該設備，而是控制你的設備所連接的WiFi路由器，然后劫持通過它的網絡流量。

被稱為“切換器“卡巴斯基實驗室的研究人員發現了一種新的安卓惡意軟件，它入侵無線路由器并改變其DNS設置，將流量重定向到惡意網站。

一周前，Proofpoint的研究人員發現了類似的針對PC的攻擊，但隱寫攻擊套件并沒有感染目標機器，而是控制了被感染設備所連接的本地WiFi路由器。

Switcher惡意軟件對路由器進行暴力攻擊

黑客目前正在傳播Switcher特洛伊木馬，他們將自己偽裝成中國搜索引擎百度（com.Baidu.com）的安卓應用程序，以及共享公共和私人Wi-Fi網絡詳細信息的中國應用程序（com.snda.wifilocation）。

一旦受害者安裝了其中一個惡意應用，Switcher惡意軟件就會試圖登錄受害者的Android設備所連接的WiFi路由器，方法是使用一組預定義的用戶名和密碼字典（列表）對路由器的管理web界面進行暴力攻擊。

“在JavaScript的幫助下[切換器]嘗試使用不同的登錄和密碼組合登錄，”卡巴斯基實驗室的移動安全專家尼基塔·布卡在今天發布的一篇博客文章中說。

“根據輸入字段的硬編碼名稱和特洛伊木馬試圖訪問的HTML文檔的結構判斷，所使用的JavaScript代碼僅適用于TP-LINK Wi-Fi路由器的web界面”。

切換器惡意軟件通過DNS劫持感染路由器

一旦訪問web管理界面，Switcher特洛伊木馬就會用指向攻擊者控制的惡意DNS服務器的IP地址替換路由器的主DNS服務器和輔助DNS服務器。

研究人員稱Switcher使用了三個不同的IP地址；101.200.147.153、112.33.13.11和120.76.249.59；作為主DNS記錄，一個是默認的，而另外兩個是為特定的internet服務提供商設置的。

由于路由器DNS設置的改變，所有流量都被重定向到攻擊者自己服務器上的惡意網站，而不是受害者試圖訪問的合法網站。

帖子寫道：“該特洛伊木馬以整個網絡為目標，將其所有用戶，無論是個人還是企業，暴露在一系列攻擊之下–；從網絡釣魚到二次感染”。

“成功的攻擊可能很難檢測到，甚至更難轉移：新設置可以在路由器重新啟動后繼續存在，即使惡意DNS被禁用，輔助DNS服務器也可以繼續運行”。

研究人員能夠訪問攻擊者的命令和控制服務器，發現Switcher惡意軟件特洛伊木馬已經破壞了近1300臺路由器，主要是在中國，并劫持了這些網絡中的流量。

底線

Android用戶只需從谷歌官方的Play商店下載應用程序。

雖然從第三方下載應用程序并不總是以惡意軟件或病毒告終，但它肯定會增加風險。因此，這是避免任何惡意軟件危害您的設備及其訪問的網絡的最佳方式。

你也可以進入設置→；安全，并確保“未知來源”選項已關閉。

此外，Android用戶還應該更改路由器的默認登錄名和密碼，以便Switcher或Mirai等惡意軟件不會使用蠻力攻擊危害路由器。