Mostra tutti

Switcher, Android Trojan che Hackera il router Wi-Fi via DNS HIJACKING

Switcher, Android Trojan che Hackera il router Wi-Fi via DNS HIJACKING

Kaspersky Lab scopre il Trojan SWITCHER, il malware per OS Android che Hackera il router Wi-Fi via DNS HIJACKING

Il Termine HIJACKING

Con il termine hijacking indica una tecnica di attacco informatico che consiste nel modificare opportunamente dei pacchetti dei protocolli TCP/IP al fine di dirottare i collegamenti ai propri siti web e prenderne il controllo.

Questa tecnica, più nota come Browser Hijacking (dirottamento del browser), permette ai dirottatori di eseguire sul malcapitato computer una serie di modifiche tali da garantirsi la visita alle loro pagine con l’unico scopo di incrementare in modo artificioso il numero di accessi e di click diretti al loro sito e conseguentemente incrementare i guadagni dovuti alle inserzioni pubblicitarie (ad es. banner pubblicitari).

Nei motori di ricerca ad esempio, l’hijacking sfruttando un bug del motore attraverso il redirect lato server, riesce a sostituirsi al sito vittima nei risultati del motore. In pratica in una ricerca su un motore, cliccando sul collegamento scelto, ci appare tutt’altra cosa rispetto a quello desiderato.

Cosa è un attacco “DNS HIJACKING”

DNS hijacking (a volte indicato come il reindirizzamento DNS) è un tipo di attacco dannoso che sostituisce le impostazioni TCP / IP di un computer per puntarlo verso un server DNS “canaglia”, invalidando così le impostazioni DNS di default. In altre parole, quando un utente malintenzionato prende il controllo di un computer per modificare le impostazioni DNS, in modo che ora punta a un server DNS canaglia, il processo viene indicato come dirottamento DNS Hijacking.

Hijacking e il reindirizzamento della richieste DNS

L’inganno sta nel ‘truccare’ i normali indirizzi web, che finiscono per essere un add-on del vero indirizzo IP di cui Internet si serve. Questo add-on viene chiamato DNS (Domain Name System) in italiano sistema dei nomi di dominio. Ogni volta che inserite un indirizzo web nella barra del browser, il vostro computer invia una richiesta al server DNS designato che, in risposta, rinvia a sua volta l’indirizzo del dominio di cui si aveva bisogno.

Per esempio, quando inserite google.com, il rispettivo server DNS risponde con l’indirizzo IP 87.245.200.153, che è per l’appunto l’indirizzo a cui si verrà reindirizzati. In poche parole, ecco quello che succede.

Switcher Trojan

Il fatto è che i ladri possono creare il proprio server DNS capace di ridirezionare verso un altro indirizzo IP (per esempio, 6.6.6.6) in risposta alla vostra richiesta di raggiungere il sito google.com; e quell’indirizzo può allocare un sito web dannoso. Questo metodo di attacco come dicevamo prima è chiamato DNS hijacking (in italiano, a volte chiamato anche reindirizzamento DNS).

Switcher Trojan

Ora quello che bisognava trovare era un metodo che spingesse la vittima ad usare un server DNS dannoso che lo avrebbe reindirizzato verso un sito web falso, piuttosto che verso quello legittimo. Ecco come i creatori di Switcher Trojan hanno risolto questo problema.

Come funziona Switcher

Gli sviluppatori di Switcher hanno creato un paio di app per Android, una delle quali imita Baidu (un’app per web search, analogo a Google) e un’altra che si spaccia per un’app per la ricerca di password per Wi-Fi pubblico, che aiuta gli utenti a condividere le password per hotspot gratuiti. Questo genere di servizi sono piuttosto popolari in Cina.

Una volta che un’app dannosa si infiltra nello smartphone della vittima connesso ad una rete Wi-Fi, inizia a comunicare con il server C&C (command-and-control) e avvisa che il Trojan è stato attivato in una particolare network. Inoltre fornisce un network ID.

Poi Switcher inizia a hackerare il router Wi-Fi. Testa diverse credenziali admin per entrare nell’interfaccia delle impostazioni. A giudicare dal modo in cui lavora il Trojan, ora il metodo funziona solo con i router TP-link.

Se il Trojan riesce a identificare le credenziali giuste, entra nella pagina delle impostazioni del router e cambia l’indirizzo del server DNS predeterminato e legittimo con quello dannoso. Inoltre, il malware imposta un server Google DNS legittimo sull’indirizzo 8.8.8.8 come DNS secondario. In questo modo se il server DNS dannoso smettesse di funzionare temporaneamente, la vittima non se ne accorgerebbe.

Sulla maggior parte delle reti wireless, i dispositivi ottengono le impostazioni di rete (tra cui anche l’indirizzo del server DNS) dai router, quindi tutti gli utenti che si connettono ad una rete compromessa useranno il server DNS dannoso predeterminato.

Il Trojan poi informa il server C&C del suo operato e dei suoi successi. È anche grazie a queste informazioni che i nostri esperti sono riusciti a scoprire il Trojan: hanno trovato le statistiche degli attacchi di successo nella parte pubblica del sito web, lasciate lì con noncuranza, ed accessibili a tutti.

Se i numeri di Switcher sono giusti, in meno di 4 mesi, il malware è riuscito a infettare 1.280 reti wireless, e tutto il traffico utente proveniente da quegli hotspot era a disposizione dei criminali.

Accorgersi di Switcher in azione

Il consiglio di cybersicurezza più importante che vi possiamo dare è il seguente: mai inserire login, password, informazioni di carte di credito e così via se l’URL è sospetta. I link strani sono molto spesso sinonimo di pericolo. Se vedete per esempio, fasebook.com al posto di facebook.com, quello è un link strano e sospetto.

E che succederebbe se la pagina web falsa fosse allocata sulla pagina legittima? Di fatto si tratta di una possibilità del tutto plausibile, e gli hacker non avrebbero nemmeno bisogno di hackerare il server che ospita la pagina cercata dalla vittima. Scopriamo insieme come funziona.

La società suggerisce di controllare le impostazioni DNS del proprio router, prestando attenzione in particolare all’eventuale presenza dei seguenti server DNS dannosi:
101.200.147.153
112.33.13.11
120.76.249.59

Se uno di questi fosse presente nelle impostazioni DNS, sottolinea Kaspersky, è necessario contattare l’assistenza del proprio Internet Service Provider o avvisare il proprietario della rete wi-fi.

Come proteggersi contro questi attacchi

1. Configurate correttamente il router. Prima di tutto, cambiare la password predeterminata con una più sofisticata.

2. Non installate app sospette sui vostri smartphone Android. Scaricate solo app dallo store ufficiale: a volte i Trojan riescono comunque ad infiltrarsi, ciò nonostante le app ufficiali sono sempre molto più affidabili di quelle non ufficiali.

3. Per una protezione massima, usate un antivirus robusto su tutti i vostri dispositivi. Se ancora non ne avete uno, potete installarne uno proprio ora: qui trovate il link alla versione gratuita di Kaspersky Antivirus & Security for Android. La nostra soluzione di sicurezza individua il malware di cui abbiamo parlato oggi, Trojan.AndroidOS.Switcher, e protegge la vostra rete Wi-Fi.

Soluzione antivirus e di sicurezza per cellulari gratuita di Kaspersky Lab per dispositivi Android
Kaspersky Internet Security for Android è una soluzione antivirus disponibile per il download GRATUITO, che protegge smartphone e tablet difendendo i dati personali archiviati sui dispositivi dalle minacce, dai virus, dagli spyware, dai Trojan più pericolosi e altro ancora.

Caratteristiche del prodotto
► Scansione e rilevamento di pericolosi virus, malware, spyware e Trojan
► Rimozione di virus e altre minacce da smartphone e tablet
► Protezione dei dati personali e della privacy: chiamate, SMS, contatti
► Protezione dei dati finanziari durante la navigazione sul Web
► Blocco delle chiamate e degli SMS indesiderati
► Filtro di siti e link pericolosi, per proteggere telefono e tablet
► Localizzazione di telefono e tablet Android

Funzioni di Kaspersky Internet Security for Android:

★ Protezione antivirus
★ Localizzazione del telefono smarrito
★ Protezione dei dati personali

Credits: Kaspersky Lab

 

libro vita da hacker