Switcher, le malware d’Android qui détourne votre routeur

By | December 29, 2016

witcher, le malware d’Android qui détourne votre routeur

Découvert par KasperskyLab, un cheval de troie nommé Switcher (Trojan.AndroidOS.Switcher) vise des smartphones Android dans le but de prendre le contrôle de leurs réseaux WiFi locaux et détourner ensuite leur trafic.

Après avoir infecté un smartphone ou une tablette, ce cheval de Troie effectue les actions suivantes:
1-D’abord, le malware collecte le BSSID du réseau de l’utilisateur. Il envoie ensuite cette information vers un serveur de commande et de contrôle à qui il informe est en cours d’activation sur ce réseau.

2-Switcher essaie d’obtenir le nom du FAI et utilisera cette information pour choisir le serveur DNS pour effectuer un DNS hijacking.

3-Switcher tente ensuite d’accéder à l’interface Web du routeur en lançant une attaque par brute force avec cette liste prédéfinie d’identifiants par défaut :

liste d'identifiants

Selon les chercheurs de Kaspersky Labs, le code JavaScript utilisé pour effecter cette attaque marcherait uniquement sur les modèles du fabriquant TP Link.

4-Si l’attaque par brute force est un succès, Switcher modifie ensuite les réglages DNS dans l’interface WAN du routeur. Le cheval de Troie n’a utilisé que l’une de ces 3 addresses suivantes à chaque fois comme DNS primaire :

101.200.147.153
112.33.13.11
120.76.249.59

Switcher choisit comme adresse DNS secondaire, celui de Google (8.8.8.8). L’objectif de cette manoeuvre est simple: si le serveur malicieux des attaquants devenait offline le serveur de google prendrait le relais en attendant qu’ils reviennent avec un nouveau serveur DNS.

partie du Switcher

La technique de détournement de DNS fut l’une des premières méthodes de phishing. Son objectif est d’amener les utilisateurs vers des sites Webs clonés conçus par les attaquants. Cela leur servira à collecter les identifiants de connexion de sites qui seront saisis par les victimes dans les sites Webs fakes.

Switcher est actuellement distribué parmi les utilisateurs chinois. Deux versions du Trojan ont été identifées à ce jour. La première, est un clone d’un client mobile du moteur de recherche chinois Baidu: com.baidu.com.
Et la seconde, un autre clone d’une application pour le partage de détails de connexions de réseaux Wifi publics: com.snda.wifilocating.

Selon Nikita Buchka, analyste chez Kaspersky, Switcher a infecté et détourné 1280 routeurs.

mdestroy

Source: Securelist.com

Leave a Reply

Your email address will not be published. Required fields are marked *