cerca CERCA
Venerdì 29 Marzo 2024
Aggiornato: 00:28
10 ultim'ora BREAKING NEWS

Comunicato stampa

Kaspersky Lab scopre il trojan Switcher: un malware per Android che colpisce i router

29 dicembre 2016 | 11.53
LETTURA: 4 minuti

Ecco cosa accade quando un attacco Switcher va a buon fine
Ecco cosa accade quando un attacco Switcher va a buon fine

Il trojan sfrutta ignari utenti di dispositivi Android per ridirigere il traffico dai device connessi al wi-fi ai siti controllati dai criminali

Gli esperti di Kaspersky Lab hanno scoperto un’importante evoluzione nel panorama dei malware per sistemi operativi Android: il trojan Switcher. Questo trojan sfrutta ignari utenti di dispositivi Android come strumenti per infettare i router wi-fi, cambiarne le impostazioni DNS e ridirigere il traffico dai dispositivi connessi alla rete ai siti controllati dai criminali, rendendo gli utenti vulnerabili ad attacchi di phishing, malware e adware, e altro ancora. I cyber criminali dichiarano di essersi, fino ad ora, infiltrati con successo in 1.280 reti wi-fi, principalmente in Cina.

Il DNS (Domain Name Server) trasforma l’indirizzo leggibile di un sito come “x.com” nell’indirizzo IP numerico necessario per la comunicazione tra computer. La capacità del trojan Switcher di dirottare questo processo attribuisce ai criminali il controllo quasi completo delle attività del network che usano questo sistema di name-resolution, come il traffico internet. Questo approccio funziona perché i router wi-fi solitamente riconfigurano le impostazioni DNS di tutti i dispositivi del network sulla base dei propri, forzando quindi ciascuno a usare lo stesso DNS nocivo.

L’infezione viene diffusa dagli utenti scaricando una delle due versioni del trojan per Android da un sito creato dai cyber criminali. La prima versione è mascherata da client per Android del motore di ricerca cinese Baidu, mentre l’altra è una versione fasulla molto ben fatta della celebre app cinese per la condivisione di informazioni sulle reti wi-fi: WiFi万能钥匙.

Quando un dispositivo infetto si connette a una rete wi-fi, il troan attacca il router e prova ad accedere all’interfaccia di amministrazione web con il metodo “forza bruta”, indovinando le credenziali da una lunga lista predefinita di combinazioni di username e password. Se il tentativo ha successo, il trojan sostituisce all’attuale server DNS quello dannoso controllato dai cyber criminali e un secondo DNS che garantisce una stabilità costante anche nel caso in cui il primo smetta di funzionare.

I cyber criminali hanno creato un sito per promuovere e distribuire agli utenti l’app wi-fi trojanizzata. Il server web che ospita questo sito funge da server di Comando e Controllo (C&C) degli autori del malware. Le statistiche interne d’infezione scoperte su una parte aperta di questo sito hanno permesso di scoprire che i criminali affermano di aver attualmente compromesso 1.280 network, esponendo potenzialmente tutti i dispositivi ad essi connessi a ulteriori attacchi e infezioni.

“Il trojan Switcher indica una nuova tendenza negli attacchi ai network e ai dispositivi connessi. Non colpisce direttamente gli utenti, ma li trasforma in complici involontari: spostando fisicamente le fonti d’infezione. Il trojan prende di mira l’intera rete, esponendo tutti i suoi utenti – che si tratti di persone o di aziende – a una vasta gamma di attacchi, tra cui il phishing e ulteriori infezioni. Un attacco andato a buon fine può essere difficile da rilevare e ancora più difficile da fermare: le nuove impostazioni possono sopravvivere al riavvio del router e anche se il DNS dannoso viene disabilitato, il secondo server DNS è pronto a proseguire. Proteggere i dispositivi è sempre importante, ma in un mondo connesso non possiamo permetterci di sottovalutare la vulnerabilità dei router e delle reti wi-fi”, ha commentato Nikita Buchka, esperto di sicurezza mobile di Kaspersky Lab.

Kaspersky Lab suggerisce agli utenti di controllare le loro impostazioni DNS e cercare i seguenti server DNS dannosi:

•101.200.147.153
•112.33.13.11
•120.76.249.59

Se uno di questi server è presente nelle impostazioni DNS, è necessario contattare l’assistenza del proprio ISP (Internet Service Provider) o avvisare il proprietario della rete wi-fi. L’azienda consigli inoltre agli utenti di cambiare username e password di default dell’interfaccia di amministrazione web del router per evitare simili attacchi in futuro.

Per saperne di più sul trojan Switcher, è possibile leggere il blogpost su Securelist.

Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it.

Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/

Seguici su:

https://twitter.com/KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://plus.google.com/+KasperskyItKL

https://www.linkedin.com/kasperskylabitalia

Riproduzione riservata
© Copyright Adnkronos
Tag
Vedi anche


SEGUICI SUI SOCIAL



threads whatsapp linkedin twitter youtube facebook instagram
ora in
Prima pagina
articoli
in Evidenza