Троян Switcher: взламывает Wi-Fi-роутеры и подменяет DNS

Новости Угрозы

Один из самых распространенных — и самых важных — советов по кибербезопасности звучит так: никогда не вводите логины, пароли, данные кредитных карт и так далее, если с адресом ссылки что-то не так. Это опасно. Если вместо facebook.com вы видите, например, fasebook.com или что-то в таком духе, ничего хорошего от такой страницы ждать не стоит.

Троян Switcher: взламывает Wi-Fi-роутеры и подменяет DNS

Но что, если поддельная страница содержится по настоящему адресу? Оказывается, такой неприятный вариант тоже возможен, и для этого злодеям даже не надо взламывать сервер, на котором хранится заветная страница. Вот как это работает.

Перехват и подмена DNS-запросов

Дело в том, что привычные нам «человеческие» адреса страниц являются надстройкой над настоящими IP-адресами, с которыми на самом деле и работает Сеть. Эта надстройка называется DNS — Domain Name System, система доменных имен. Каждый раз, когда вы вводите в строке браузера адрес сайта в привычном вам формате, компьютер посылает запрос специальному DNS-серверу, который возвращает IP-адрес нужного вам домена.

Например, если ввести в строке браузера google.com, то DNS-сервер вернет вам адрес 87.245.200.153 — и именно по этому адресу вы и перейдете на самом деле. Происходит это примерно так:

Так должен работать нормальный DNS-сервер

Штука в том, что злоумышленники могут создать свой собственный DNS-сервер, который будет превращать запрос google.com в какой-то другой IP-адрес — например, 6.6.6.6, по которому вместо настоящего сайта будет размещен поддельный. Этот метод называется подмена DNS (DNS hijacking).

А так работает атака с подменой DNS

Дело за малым: остается каким-то образом обмануть пользователя, чтобы он вместо настоящего DNS-сервера использовал вредоносный, перенаправляющий на поддельный сайт. Вот как данную задачу решили создатели трояна Switcher.

Как действует троян Switcher

Они создали пару программ для Android, одна из которых имитирует приложение поисковой системы Baidu (это такой китайский Google), а вторая — также достаточно популярную в Китае утилиту для поиска паролей к Wi-Fi-сетям, которыми обмениваются пользователи.

После того как приложение попадает на смартфон, подключенный к Wi-Fi, оно связывается с командным сервером злоумышленников и сообщает, что троян активирован в Wi-Fi-сети с таким-то идентификатором.

Затем Switcher приступает к взлому Wi-Fi-роутера: он по очереди проверяет различные пароли администратора для входа в веб-интерфейс настройки маршрутизатора. Если судить по тому, как устроена эта часть трояна, на данный момент он умеет работать только с роутерами TP-Link.

После того как трояну удается угадать пароль, он заходит на страницу сетевых настроек роутера и прописывает в них адрес одного из вредоносных DNS-серверов в качестве используемого по умолчанию. А в качестве запасного DNS-сервера троян указывает настоящий DNS-сервер Google 8.8.8.8 — чтобы пользователь не заметил сбоев в случае отказа DNS-сервера злоумышленников.

Необычный троянец для Android не делает со смартфоном ничего ужасного — вместо этого он захватывает Wi-Fi-сеть, к которой подключен зараженный аппарат

Поскольку в большинстве беспроводных сетей все устройства получают сетевые настройки, и в том числе адреса DNS-серверов, от роутера, то все пользователи, подключившиеся к уже захваченной злоумышленниками Wi-Fi-сети, автоматически будут использовать вредоносный DNS.

Об успехе операции троян сообщает на командный сервер. На нем нашим экспертам помимо всего прочего удалось обнаружить статистику успешных атак, которую злоумышленники по неосторожности оставили в открытой части сайта.
Статистика захваченных Switcher сетей

Если верить этой статистике, за неполные четыре месяца работы им удалось захватить уже 1280 беспроводных сетей, и трафик всех пользователей этих сетей может быть перенаправлен по команде злоумышленников.

Как защититься

1. Чтобы защитить свою беспроводную сеть от подобных атак, следует правильно настроить роутер. В первую очередь — на странице настроек сменить пароль по умолчанию на сложный и надежный.

2. Не стоит устанавливать подозрительные приложения на свои Android-устройства. К сожалению, даже в официальных магазинах нередко встречаются трояны.

3. Для полной уверенности лучше всего использовать на всех устройствах надежный антивирус. Кстати, можете установить его прямо сейчас — вот ссылка на бесплатную версию Kaspersky Antivirus & Security для Android: он определяет этого троянца как Trojan.AndroidOS.Switcher и не позволяет ему захватить вашу Wi-Fi-сеть.