新出Android恶意软件能够劫持智能手机的路由器DNS

congtou 2016-12-29 网络安全 0 1
      某天,某个针对Android用户的恶意软件!

      安全研究人员已经发现了一种新的针对你的设备的Android恶意软件,但这次不是直接攻击设备取而代之的是恶意的接管WiFi的路由器控制您的设备在连接到网络后,能通过它劫持您的网络流量

      这个新的Android恶意软件被称为开关,卡巴斯基实验室的研究人员发现,黑客的无线路由器能够改变他们的DNS设置,将流量重定向到恶意网站。
 
      在一周前,Proofpoint研究人员发现了类似的PC端击,但不是以感染目标机器为手段是通过隐藏的开发工具包,以控制当地的WiFi路由器被感染的设备连接。


开关恶意软件攻击路由器进行暴力破解

      黑客们目前通过掩饰自己为中国搜索引擎百度com.baidu.com)来分配切换器木马,并且作为一个分享公共Wi-Fi和私人Wi-Fi网络细节的中国APP(com.snda.wifilocating)。

一旦受害者安装
这种恶意程序,“开关”恶意软件就会试图登录到无线路由器通过实施一个对路由器的管理网络接口与一组预定义的字典攻击(列表)的用户名和密码,就会使受害者的Android设备连接到这个无线路由器

“通过在JavaScript [开关]的帮助下尝试使用各种不同的登录名和密码组合登陆不同的路由,”卡巴斯基手机安全专家buchka尼基塔在博客中说。
“从硬编码名称的输入字段和HTML文档的结构,该木马试图访问连接,而使用JavaScript代码只能在TP-LINK的WiFi路由的网络接口起作用。”

“开关”恶意软件通过DNS劫持感染路由器
 
     
      一旦访问Web管理界面,切换木马代替路由器的主键并且辅助DNS服务器的IP地址指向被黑客控制的恶意DNS服务器。

研究人员说,
“开关”使用了三个不同的IP地址–101.200.147.153,112.33.13.11和120.76.249.59–作为主DNS记录,一个是默认的,其他两组设置为特定的互联网服务提供商。

由于路由器
DNS设置的改变,所有的流量被重定向到恶意网站,并且托管在攻击者自己的服务器,而不是受害者试图访问合法网站。
“该木马针对整个网络,暴露其所有用户,无论是个人或企业,以广泛的攻击-从网络钓鱼到二次感染,”文章中说到。。
“一个成功的攻击可能很难察觉,更难转变:新的设置可以在路由器重启,即使该DNS有缺陷,辅助DNS服务器上仍可进行”

研究人员能够访问攻击者的命令和控制服务器
并且发现“开关”恶意木马入侵了将近1300路由器,主要在中国这些网络劫持流量

底线

Android用户只需从官方的谷歌Play商店下载应用程序。
      
虽然下载来自第三方的应用程序并不总是
恶意软件或病毒结束或卸载它肯定会上升使用风险。所以,最好的方法避免任何恶意软件损害您的设备和网络访问。
      
你也可以
通过设置→安全和确保“未知来源”选项关闭来避免这种可能
      
此外,
Android用户也应该改变路由器默认的登录名和密码,使像“开关”或者“未来”这种讨厌的恶意软件不能使用蛮力攻击拿下你的路由器。

文章翻译: Four7h 

转载请注明来自华盟网,本文标题:《新出Android恶意软件能够劫持智能手机的路由器DNS》

喜欢 (1) 发布评论
发表评论