Connect with us

מתקפות סייבר

Switcher: טרויאני חדש הופך מכשירי אנדרואיד לאפיק תקיפה על נתבים

פורסם

ב-

בינתיים הדברים מתרחשים בעיקר בסין, אבל אין סיבה שלא יתפשטו במהירות גם למקומות אחרים בעולם.

switcher_1 מומחי מעבדת קספרסקי חשפו את Switcher Trojan, אשר תוקף מכשירי אנדרואיד ומדלג דרכם אל נתבי Wi-Fi, במטרה לשנות את הגדרות ה-DNS של הנתב ולהפנות תעבורה ממכשירים המחוברים לאותה הרשת אל אתרים הנשלטים על ידי התוקפים. משם התוקפים יכולים להפעיל מגוון התקפות, כגון פישינג, הדבקה בקוד זדוני, התקפות פרסום ועוד. התוקפים הציגו כי חדרו עד עתה בהצלחה ל- 1,280 רשתות אלחוטיות.

שרתי DNS אחראים להפיכת כתובת אינטרנט קריאה כגון x.com אל כתובת IP מספרית הנדרשת כדי לחבר בין שני מחשבים. היכולת של הטרויאני Switcher להשתלט על תהליך שכזה מעניקה לתוקפים שליטה כמעט מלאה על הפעילות ברשת אשר משתמשת במערכת שכזו להסבת שמות, לדוגמא: תעבורת האינטרנט. שיטת עבודה זו עובדת מכיוון שנתבים אלחוטיים מכפיפים, בדרך כלל, את כל הגדרות ה-DNS של כל המכשירים שברשת להגדרות שלהם – ובכך הם מחייבים את כולם להשתמש באותו DNS תוקפני.

ההדבקה מתבצעת דרך משתמשים שהורידו אחת משתי גרסאות של הטרויאני מאתר שנוצר על ידי התוקפים. הגרסה הראשונה מסתווה כיישום אנדרואיד של מנוע החיפוש הסיני, ביידו, והשניה מתחזה לגרסת מזויפת מדויקת של אפליקציה הנפוצה בסין לשיתוף מידע ברשתות Wi-Fi: WiFi万能钥匙.

כאשר מכשיר שהודבק מתחבר לרשת אלחוטית, הטרויאני תוקף את הנתב ומנסה לבצע פריצה כוחנית (Brute-force) אל ממשק הניהול באמצעות ניחוש הסיסמא, כשהוא מסתמך על רשימה ארוכה של סיסמאות ושמות משתמשים שהוגדרה מראש. אם הניסיון מצליח, הטרויאני מחליף את שרת ה-DNS הקיים באחד מזויף הנמצא בשליטת עברייני הסייבר, וגם DNS משני, כדי הבטיח יציבות אם ה-DNS הראשון מושבת.

התוקפים הקימו אתר כדי לקדם את ההפצה של אפליקציית ה- Wi-Fi הטרויאנית. שרת האינטרנט אשר מארח את האתר משמש גם כשרת הפיקוד והשליטה של כותבי הקוד הזדוני. סטטיסטיקה פנימית לגבי הדבקות, שאותרה בחלק פתוח של האתר, חושפת כי התוקפים טוענים כי פרצו ל- 1,280 אתרים – אשר חושפים את כל המכשירים המחוברים אליהם להתקפות והדבקות נוספות.

Advertisement

"הטרויאני Switcher מסמן מגמה חדשה ומסוכנת בהתקפות על מכשירים מרושתים ורשתות. הוא אינו תוקף את המשתמשים ישירות. במקום זאת, הוא הופך אותם לשותפים שלא מרצון: כמקורות הדבקה ניידים. הטרויאני תוקף את כל הרשת, וחושף את כל המשתמשים בה, בין אם מדובר באנשים פרטיים או עסקים, לטווח רחב של התקפות – מפישינג ועד להדבקות משנה. קשה לזהות התקפה מוצלחת ואף קשה יותר להסיטה: ההגדרות החדשות יכולות לשרוד אתחול של הנתב, ואפילו אם ה- DNS המזויף מנוטרל, DNS משני נמצא במקום כדי להמשיך. הגנה על מכשירים חשובה מאי פעם, אבל בעולם מרושת אנו לא יכולים להתעלם מפרצות בנתבים ורשתות Wi-Fi", אמר ניקיטה בוכקה, מומחה אבטחת ניידים, מעבדת קספרסקי.

החברה ממליצה כי כל המשתמשים יבדקו את הגדרות ה-DNS שלהם ויחפשו אחר שרתי ה-DNS המזויפים הבאים:

  • 200.147.153
  • 33.13.11
  • 76.249.59

אם מופיע אחד מהשרתים האלה בהגדרות ה-DNS שלך, צור קשר עם תמיכת האינטרנט שלך או הודע לבעלים של רשת ה- Wi-Fi. מעבדת קספרסקי גם ממליצה למשתמשים לשנות את סיסמאות ברירת המחדל לממשק הניהול של הנתב שלהם כדי למנוע התקפות שכאלה בעתיד.