Los investigadores de Kaspersky Lab han llegado a un nuevo troyano para Android que hackea routers y cambia configuración de DNS en un esfuerzo para redirigir el tráfico a sitios web maliciosos.
Apodado » Switcher», el malware se ha disfrazado como un cliente de Android para el motor de búsqueda chino Baidu, y una aplicación china para el intercambio de datos Wi-Fi de la red. Una vez que los usuarios instalan una de estas aplicaciones, el malware intenta averiguar el nombre de usuario y la contraseña del router Wi-Fi del dispositivo Android infectado y se conecta.
Switcher incluye una lista de más de dos docenas de combinaciones de nombre de usuario y contraseña que podrían permitirle acceder a la interfaz de administración Web del router, como administrador: admin, admin: 123456, o admin: 00000000.
«Con la ayuda de JavaScript intenta iniciar sesión utilizando diferentes combinaciones de nombres de usuario y contraseñas. A juzgar por los nombres codificados de campos de entrada y las estructuras de los documentos HTML el troyano intenta el acceso, el código JavaScript utilizado sólo funcionará en interfaces web de los routers TP-LINK Wi-Fi,» Nikita Buchka, experto en seguridad móvil en Kaspersky Lab, dijo en una entrada en el blog .
Si se puede acceder a la interfaz de administración web, el troyano reemplaza a los servidores DNS primario y secundario del dispositivo con direcciones IP y los apunta a los servidores DNS malicioso. Estas direcciones son 101.200.147.153, 112.33.13.11 y 120.76.249.59, es la opción por defecto, mientras que los otros dos están destinados para los ISP específicos.
«El código que realiza estas acciones es un completo desastre, ya que fue diseñado para trabajar en una amplia gama de routers y trabaja en modo asincrónico,» señaló Buchka.
Con la configuración DNS del router que apunta a una máquina controlada por los atacantes, el tráfico se redirige a sitios web maliciosos en lugar del sitio legítimo que la víctima está intentando acceder. Según Kaspersky, los cibercriminales afirman haber comprometido casi 1.300 sitios web, principalmente en China.
«El troyano se dirige a toda la red, dejando al descubierto a todos sus usuarios, ya sean particulares o empresas, a una amplia gama de ataques, desde phishing a infección secundaria,» dijo Buchka. «Un ataque exitoso puede ser difícil de detectar y aún más difícil de cambiar, la nueva configuración pueden sobrevivir a un reinicio del router, e incluso si el DNS malicioso está desactivado, el servidor DNS secundario está preparado para seguir adelante».