CODEXSPRAWL

sulle tracce della periferia cibernetica

Switcher, il trojan che attacca il router Wi-Fi

copertina-switcherSwitcher รจ un nuovo e particolare trojan di android scoperto dal gruppo di Kaspersky.

Kaspersky ha individuato due diverse versioni di Switcher:

  • acdb7bfebf04affd227c93c97df536cf; package name โ€“ com.baidu.com; dove il malware finge di essere Baidu, un motore di ricerca cinese che invita ad accedere ad un link all’interno dell’applicazione.
  • 64490fbecefa3fcdacd41995887fe510; package name โ€“ com.snda.wifi; qui, Switcher รจ nascosto all’interno di un’applicazione che รจ la perfetta copia di un’app cinese creata al fine di condividere informazioni relative ai Wi-Fi tra gli utenti che la utilizzano. Inoltre, รจ stato creato anche un sito web utilizzato siaย  per distribuire e pubblicizzare il suddetto software che come C&C (Command and Control) server.

In entrambi i casi, quindi, Switcher punta ad un target prettamente cinese ma, come oramai abbiamo imparato tutti, solo perchรฉ un virus inizia a dilagare in una specifica zona non significa che possa essere adattato ad altre. Ecco perchรฉ รจ importante dare un’occhiata anche allo scenario mondiale relativo ai malware ed alla loro espansione.

Il tipo di attacco di questo trojan si divide in due momenti:

  1. Bruteforce della password dell’interfaccia web di amministrazione del router Wi-Fi a cui l’utente si sta connettendo. Il bruteforce รจ un’azione portata a termine da un software che tenta ogni possibile combinazione di caratteri, numeri e simboli.
  2. Nel caso il Bruteforce andasse a buon fine un attacco di tipo DNS-hijack verrebbe portato a termine. Ciรฒ significa che Switcher scambierร  (come suggerisce il suo stesso nome) l’indirizzo dei servers DNS nelle impostazioni del router attaccato deviando tutte le richieste verso i DNS dei servers criminali.

Nel tentativo di far comprendereย esattamente cosa succede nel DNS, nell’articolo di N. Buchka (link a fine post) sono state inserite le immagini sottostanti. La prima descrive cosa effettivamente accade in una situazione totalmente normale:

  1. L’utente dal proprio terminale (pc, smartphone o tablet che sia) chiede di connettersi a google.com.
  2. La richiesta raggiunge il DNS il quale risponde che l’IP del sito google.com รจ 87.245.200.153 (abbiamo giร  parlato piรน volte di cosa sia un IP, Internet Protocol, ma tanto per rinfrescarci la memoria possiamo immaginarcelo come la via, il numero civico e la strada virtuali in cui google.com abita).
  3. Una volta ricevuto l’IP il nostro computer puรฒ effettivamente raggiungere il sito di google.com.

Vediamo allora cosa succede quando il DNS-hijacking si attiva:

  1. L’utente dal proprio terminale (pc, smartphone o tablet che sia) chiede di connettersi a google.com come, effettivamente accadeva anche prima.
  2. Il pc, perรฒ, invia la richiesta ad un Rogue DNS (ovvero un falso DNS messo li apposta da dei cybercriminali).
  3. Il Rogue DNS invia un falso indirizzo IP, per esempio 6.6.6.6, al nostro terminale fregandolo.
  4. Cosรฌ, il nostro computer crede di doversi connettere al finto indirizzo e non raggiungerร  mai quello reale di google.com. In altre parole, anzichรฉ trovare il sig. Google all’indirizzo corretto entriamo in casa di qualcuno che si finge il sig. Google e ci estorce tutte le nostre informazioni di navigazione oppure ci riempie di botte (ovvero di malware).

Ma vediamo in specifico come funziona:

  • Lo Switcher si appropria dell’identificativo base del servizio di rete (basic service set identifier il cui acronimo รจ BSSID). Ma cos’รจ IL BSSID? Normalmente nella rete WLAN vi sono multipli punti di accesso per poterli identificare ed associarli ai clients (ovvero agli strumenti per connettersi, smartphone, tablet, pc…) viene utilizzato il BSSID che รจ incluso in tutti i pacchetti wireless.
  • A questo punto il trojan informa il C&C server che รจ stato attivato all’interno del network con il suddetto BSSID.
  • Switcher, allora, prova a recuperare il nome dell’ISP (Internet Service Provider), ovvero il fornitore della rete, per determinare quale tipo di falso DNS usare per portare a termine il DNS-hijacking.
  • Inizia, quindi, il tentativo di Bruteforce il quale tenta le seguenti combinazioni rintracciate dal team di Kaspersky:
    admin:00000000
    admin:admin
    admin:123456
    admin:12345678
    admin:123456789
    admin:1234567890
    admin:66668888
    admin:1111111
    admin:88888888
    admin:666666
    admin:87654321
    admin:147258369
    admin:987654321
    admin:66666666
    admin:112233
    admin:888888
    admin:000000
    admin:5201314
    admin:789456123
    admin:123123
    admin:789456123
    admin:0123456789
    admin:123456789a
    admin:11223344
    admin:123123123
  • Se il tentativo va a buon fine allora Switcher avrร  accesso all’interfaccia d’amministrazione del router dove potrร  modificare il DNS e quindi reindirizzare il traffico sul C&C prescelto.

Inoltre, essendo Switcher un malware che attacca direttamente il router Wi-Fi questo tipo di DNS-hijack non riguarderร  solamente il nostro smartphone, per esempio, ma tutte le strumentazioni che si connettono a quella specifica rete. Ecco perchรฉ spesso si sconsiglia di usufruire deiย servizio di connessione da Wi-Fi pubblicoย oppure si avvertono gli utenti di porviย particolare attenzione.

FONTI:

N. Buchka, Switcher: Android joins the โ€˜attack-the-routerโ€™ club, 28.12.2016

Drozhzhin, Switcher, il Trojan che hackera il router Wi-Fi, 28.12.2006

Scopri di piรน da CODEXSPRAWL

Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.

Lascia un commento

Il tuo indirizzo email non sarร  pubblicato. I campi obbligatori sono contrassegnati *