Switcher: il trojan che prese il Wi-Fi in ostaggio

di

Nel mondo digitale ogni malware obsoleto è un fossile. Un pezzo di codice sepolto nel tempo, un frammento di paranoia connessa, un’allerta ormai silenziosa. Eppure, anche queste vecchie minacce meritano uno spazio nel museo del codice dimenticato.

In questa nuova puntata di “Bug Archeology”, torniamo al dicembre 2016 per riesumare Switcher, un malware Android che non puntava (solo) al tuo dispositivo, ma alla tua rete Wi-Fi domestica.
Sì, proprio quella: il rifugio digitale che credevamo sicuro perché, in fondo, “tanto nessuno vuole bucare il mio router, no?”.

BUG ARCHEOLOGY – EPISODIO 9

“Non è la realtà che ci inganna, siamo noi che non la guardiamo abbastanza da vicino” – Jean Baudrillard

I. Il sintomo

“Perché Google mi rimanda su un sito strano?”
“Perché il mio PC mi dice che sto accedendo a googIe.com?”
“Perché anche il frigo intelligente è entrato in modalità rave?”

Tutto era iniziato così. Sintomi vaghi, deviazioni misteriose, traffico web che si comportava in modo strano anche su dispositivi non infetti.

La vera anomalia? I colpevoli non erano né il computer, né lo smartphone. Il problema era a monte: nel router.

Il Trojan Android Switcher agiva come un cavallo di Troia elettronico: entrava nel sistema passando per un’app fasulla e da lì, con pazienza, tentava di prendere il controllo del cuore della rete casalinga.

Un attacco alla radice, alla fiducia, alla porta Wi-Fi che nessuno aveva mai pensato di blindare.

II. Il bug

Switcher è uno di quei malware che sanno vestirsi bene.

Nel 2016, circolavano due versioni note:

  • Una si mascherava da Baidu, un motore di ricerca cinese. L’app aveva il nome com.baidu.com, ed era più convincente di certi cloni nei mercatini Android di terza fascia.
  • L’altra, com.snda.wifi, era una copia perfetta di una popolare app cinese per la condivisione di Wi-Fi tra utenti. Aveva anche un sito web ad hoc — che serviva da punto di distribuzione e centro di comando (C&C server). I cybercriminali non si erano risparmiati: finto brand, finta UX, finto tutto.

Una volta installato, Switcher non perdeva tempo:

  1. Rilevava il BSSID, cioè l’identificatore unico della rete wireless a cui eri connesso.
  2. Comunicava quel dato al C&C server.
  3. Tentava di riconoscere l’ISP (Internet Service Provider), per scegliere il miglior DNS falso da usare nel dirottamento.
  4. Poi iniziava il gioco vero: bruteforce dell’interfaccia di amministrazione del router.

La lista di password era un poema epico dell’ingenuità digitale:

admin:admin  
admin:123456  
admin:666666  
admin:5201314  
admin:123123123  
admin:000000  
... (e molte altre)

Non si assisteva a nessun attacco esotico o exploit zero-day. Vi era solo la constatazione che, come a tutt’oggi avviene, molti utenti non avevano mai cambiato la password del router.

Una volta dentro, Switcher modificava le impostazioni DNS. I server ufficiali venivano sostituiti con indirizzi controllati dai cybercriminali. Il risultato? Un classico caso di DNS hijacking (o dirottamento DNS); questa è una tecnica in cui un attaccante modifica le impostazioni del Domain Name System (DNS) — il sistema che traduce i nomi dei siti web in indirizzi IP — per deviare il traffico internet verso server malevoli.

In pratica, quando digiti un sito come google.com, il tuo dispositivo chiede al DNS:
“Dove si trova google.com?”

In condizioni normali, il DNS risponde con l’indirizzo IP corretto del sito. Ma se il DNS è stato compromesso, può restituire un indirizzo falso, portandoti su:

  • una copia fasulla del sito originale (per rubare password o dati)
  • una pagina piena di pubblicità o malware
  • un sito controllato da cybercriminali

Nel caso di Switcher, il malware cambiava i DNS direttamente nel router, colpendo tutti i dispositivi connessi alla rete — anche quelli non infetti. Il risultato?
Una realtà falsificata, dove i siti sembrano quelli di sempre… ma non lo sono.

Ma cosa significa, in pratica?

  1. Tu scrivevi google.com nel browser.
  2. Il tuo computer chiedeva al DNS del router “che IP ha google.com?”
  3. Il DNS malevolo rispondeva: “Certo, ecco qui: 6.6.6.6
  4. Tu, educato, ti connettevi. Solo che non era Google.
  5. Era un clone, una trappola, o peggio: una centrale di furto credenziali.

E la cosa più inquietante? Anche dispositivi non Android finivano nel tranello. Bastava che fossero collegati a quella rete Wi-Fi.

Il Trojan aveva contaminato il territorio, non il cittadino.

III. Le “soluzioni”

Nel 2016, rimuovere Switcher era come tirarsi fuori da una palude: più ci provavi, più scoprivi quanto poco sapevi del tuo router.

Ecco il protocollo standard di sopravvivenza digitale:

  1. Disinstallare immediatamente l’app sospetta dal telefono.
  2. Resettare il router alle impostazioni di fabbrica (quel minuscolo pulsante incassato, da premere con una graffetta).
  3. Accedere al pannello del router via IP locale (192.168.1.1, 192.168.0.1, ecc.).
  4. Cambiare la password di amministrazione. Seriamente… cambiala!
  5. Controllare e correggere i server DNS impostati (rimettere quelli ufficiali del provider, oppure usare DNS pubblici sicuri come quelli di Google o Cloudflare).
  6. Eseguire una scansione completa del telefono con un antivirus mobile.
  7. Riavviare tutto.

E poi, per sicurezza, guardare male il router per almeno 24 ore.

IV. La riflessione

C’è qualcosa di poetico e disturbante nel fatto che un’app Android possa convincere un router a mentire.

Switcher non era sofisticato. Era intelligente.
Non cercava scorciatoie complesse, solo la nostra disattenzione.

Ci ricordava che i confini tra “dispositivo personale” e “ambiente digitale” sono labili. E che, nel mondo connesso, la vulnerabilità può essere ambientale, invisibile, sistemica.

In un certo senso, Switcher era un filosofo del caos: non ti toccava direttamente, ma cambiava le regole del mondo digitale in cui ti muovevi.

Tutto sembrava uguale… ma, come avviene sempre in questi casi, niente lo era più.

V. Dieci anni dopo

Oggi Switcher giace tra i log di laboratorio, nei post archiviati dei blog di sicurezza, nei PDF dimenticati di Kaspersky. Non è più attivo. È una minaccia fossile, ma ancora leggibile. Ha lasciato, però, dietro di sé un’eredità.

Molti router nel 2025 sono ancora protetti da credenziali predefinite. Gli attacchi DNS-hijacking sono ancora attuali — solo più evoluti, più invisibili, più integrati.

Il malware non ha smesso di parlare con il router: lo fa semplicemente in modo più sottile.

Switcher ci ha insegnato che l’anello debole non è il sistema operativo: è la fiducia implicita che riponiamo nei dispositivi che consideriamo “invisibili” ma fondamentali.

VI. Perché CodexSprawl

CodexSprawl è il nostro archivio digitale delle ombre, delle glitch, delle anomalie software che hanno costellato la storia del cyberspazio.
Un luogo dove i malware diventano fossili, e i fossili raccontano storie.

Raccontare Switcher è ricordare che anche un banale router domestico può diventare teatro di un’invasione.

E tu? Hai mai trovato qualcosa di strano nel tuo Wi-Fi? Una deviazione DNS? Un sito che non era quello?
Scrivimi. Potresti avere un fossile digitale nascosto nel tuo passato.

Vuoi dare un’occhiata all’articolo originale? Lo trovi qui!

Lascia un commento