Un troyano para Android capaz de atacar los routers que controlan las redes inalámbricas de sus víctimas ha sido descubierto por los investigadores de seguridad.
El troyano llamado Trojan.AndroidOS.Switcher, es capaz de redirigir todo el tráfico Wi-Fi de los dispositivos conectados a la red a manos de los delincuentes. Esto podría dar lugar a fraudes y al robo de datos.
En lugar de atacar a un usuario, ataca a la red wifi en la que el usuario está conectado, o para ser más precisos, al router inalámbrico que sirve a la red. El troyano, denominado Trojan.AndroidOS.Switcher, realiza una busqueda de contraseña por fuerza bruta y cuando la adivina ataca a la interfaz web de administración del router. Si el ataque tiene éxito, el malware cambia las direcciones de los servidores DNS en la configuración del router, cambia la ruta de esta manera de todas las consultas DNS de los dispositivos de la red Wi-Fi enviandolas a los servidores de los delincuentes (tal ataque es también conocido como DNS-hijacking ).
Los investigadores de Kaspersky Lab que compilaron el informe dicen que esta es la primera vez que un malware para Android se ha utilizado para atacar a los routers de esta manera.
DNS-hijacking permite a los piratas monitorear todo el tráfico en la red, proporcionándoles toda la información que necesitan para llevar a cabo otras actividades delictivas o maliciosas. Una vez que el hacker tiene el control del DNS, que pueden dirigir las llamadas a una página web que tiene el mismo aspecto que la original a la que se solicitaba, pero con contenido extra, como publicidad. También puede remitir a los usuarios directos a páginas que contienen malware o un motor de búsqueda de terceros.
Antes de esto, la firma estadounidense de seguridad Proofpoint descubrió un paquete de exploits llamado DNSChanger EK que tiene como objetivo servir a una serie interminable de anuncios maliciosos en cada sitio web que el usuario visita. Esto afectó a los routers de muchas marcas populares, incluyendo modelos de Netgear, D-Link, Linksys, Pirelli, Zyxel y Comtrend.
Para apreciar el perjuicio que producen acciones es necesario entender los principios básicos de cómo funciona DNS. El DNS se utiliza para resolver un nombre legible de la red de recursos (por ejemplo, sitio web) en una dirección IP que se utiliza para las comunicaciones reales en la red informática. Por ejemplo, el nombre de "google.com" se resuelve en la dirección IP 87.245.200.153. En general, una consulta DNS normal se realiza de la siguiente manera:
Cuando se utiliza DNS-hijacking, los criminales cibernéticos cambian los valores de TCP / IP de la víctima (que en nuestro caso es el router) para obligarlo a realizar consultas DNS a un servidor DNS controlado por ellos - un servidor DNS malicioso. Por lo tanto, el esquema quedaría así:
En lugar de comunicarse con el google.com real, la víctima es engañada y se pone en comunicación con un recurso de red completamente diferente. Esto podría ser una falsa google.com, que recopile todas sus solicitudes de búsqueda y las envie a los delincuentes, o simplemente podría ser un sitio web al azar con un montón de anuncios pop-up o malware. O algo más. Los atacantes podrían hacerse con el control casi completo sobre el tráfico de red, por ejemplo, todo el tráfico web).
El Trojan.AndroidOS.Switcher no ataca directamente a los usuarios. En lugar de ello, se dirige a toda la red, exponiendo a todos sus usuarios a una amplia gama de ataques desde suplantación de identidad,a la infección. El principal peligro de la manipulación de tales configuraciónes en los routers es que la nueva configuración sobrevivirá incluso a un reinicio del router.
No hay comentarios:
Publicar un comentario