Switcher, il trojan che attacca il router Wi-Fi

Switcher è un nuovo e particolare trojan di android scoperto dal gruppo di Kaspersky.

Kaspersky ha individuato due diverse versioni di Switcher:

• acdb7bfebf04affd227c93c97df536cf; package name – com.baidu.com; dove il malware finge di essere Baidu, un motore di ricerca cinese che invita ad accedere ad un link all’interno dell’applicazione.

• 64490fbecefa3fcdacd41995887fe510; package name – com.snda.wifi; qui, Switcher è nascosto all’interno di un’applicazione che è la perfetta copia di un’app cinese creata al fine di condividere informazioni relative ai Wi-Fi tra gli utenti che la utilizzano. Inoltre, è stato creato anche un sito web utilizzato sia  per distribuire e pubblicizzare il suddetto software che come C&C (Command and Control) server.

In entrambi i casi, quindi, Switcher punta ad un target prettamente cinese ma, come oramai abbiamo imparato tutti, solo perché un virus inizia a dilagare in una specifica zona non significa che possa essere adattato ad altre. Ecco perché è importante dare un’occhiata anche allo scenario mondiale relativo ai malware ed alla loro espansione.

Il tipo di attacco di questo trojan si divide in due momenti:

1. Bruteforce della password dell’interfaccia web di amministrazione del router Wi-Fi a cui l’utente si sta connettendo. Il bruteforce è un’azione portata a termine da un software che tenta ogni possibile combinazione di caratteri, numeri e simboli.
2. Nel caso il Bruteforce andasse a buon fine un attacco di tipo DNS-hijack verrebbe portato a termine. Ciò significa che Switcher scambierà (come suggerisce il suo stesso nome) l’indirizzo dei servers DNS nelle impostazioni del router attaccato deviando tutte le richieste verso i DNS dei servers criminali.

Nel tentativo di far comprendere esattamente cosa succede nel DNS, nell’articolo di N. Buchka (link a fine post) sono state inserite le immagini sottostanti. La prima descrive cosa effettivamente accade in una situazione totalmente normale:

1. L’utente dal proprio terminale (pc, smartphone o tablet che sia) chiede di connettersi a google.com.
2. La richiesta raggiunge il DNS il quale risponde che l’IP del sito google.com è 87.245.200.153 (abbiamo già parlato più volte di cosa sia un IP, Internet Protocol, ma tanto per rinfrescarci la memoria possiamo immaginarcelo come la via, il numero civico e la strada virtuali in cui google.com abita).
3. Una volta ricevuto l’IP il nostro computer può effettivamente raggiungere il sito di google.com.

Vediamo allora cosa succede quando il DNS-hijacking si attiva:

1. L’utente dal proprio terminale (pc, smartphone o tablet che sia) chiede di connettersi a google.com come, effettivamente accadeva anche prima.
2. Il pc, però, invia la richiesta ad un Rogue DNS (ovvero un falso DNS messo li apposta da dei cybercriminali).
3. Il Rogue DNS invia un falso indirizzo IP, per esempio 6.6.6.6, al nostro terminale fregandolo.
4. Così, il nostro computer crede di doversi connettere al finto indirizzo e non raggiungerà mai quello reale di google.com. In altre parole, anziché trovare il sig. Google all’indirizzo corretto entriamo in casa di qualcuno che si finge il sig. Google e ci estorce tutte le nostre informazioni di navigazione oppure ci riempie di botte (ovvero di malware).

Ma vediamo in specifico come funziona:

• Lo Switcher si appropria dell’identificativo base del servizio di rete (basic service set identifier il cui acronimo è BSSID). Ma cos’è IL BSSID? Normalmente nella rete WLAN vi sono multipli punti di accesso per poterli identificare ed associarli ai clients (ovvero agli strumenti per connettersi, smartphone, tablet, pc…) viene utilizzato il BSSID che è incluso in tutti i pacchetti wireless.
• A questo punto il trojan informa il C&C server che è stato attivato all’interno del network con il suddetto BSSID.
• Switcher, allora, prova a recuperare il nome dell’ISP (Internet Service Provider), ovvero il fornitore della rete, per determinare quale tipo di falso DNS usare per portare a termine il DNS-hijacking.
• Inizia, quindi, il tentativo di Bruteforce il quale tenta le seguenti combinazioni rintracciate dal team di Kaspersky:
  admin:00000000
  admin:admin
  admin:123456
  admin:12345678
  admin:123456789
  admin:1234567890
  admin:66668888
  admin:1111111
  admin:88888888
  admin:666666
  admin:87654321
  admin:147258369
  admin:987654321
  admin:66666666
  admin:112233
  admin:888888
  admin:000000
  admin:5201314
  admin:789456123
  admin:123123
  admin:789456123
  admin:0123456789
  admin:123456789a
  admin:11223344
  admin:123123123
• Se il tentativo va a buon fine allora Switcher avrà accesso all’interfaccia d’amministrazione del router dove potrà modificare il DNS e quindi reindirizzare il traffico sul C&C prescelto.

Inoltre, essendo Switcher un malware che attacca direttamente il router Wi-Fi questo tipo di DNS-hijack non riguarderà solamente il nostro smartphone, per esempio, ma tutte le strumentazioni che si connettono a quella specifica rete. Ecco perché spesso si sconsiglia di usufruire dei servizio di connessione da Wi-Fi pubblico oppure si avvertono gli utenti di porvi particolare attenzione.

FONTI:

N. Buchka, Switcher: Android joins the ‘attack-the-router’ club, 28.12.2016

Drozhzhin, Switcher, il Trojan che hackera il router Wi-Fi, 28.12.2006