Il trojan Switcher per Android che colpisce i router degli utenti

Il trojan Switcher è l’ultima novità nel panorama Android: infetta il router e ridireziona via WiFi i dispositivi verso siti controllati da cyber criminali

Kasperky Lab ha rivelato l’ennesimo malware che gironzola per la rete. Anche questo è “diabolico”, ma per fortuna sta facendo danni principalmente in Cina: i cyber criminali dichiarano di aver infettato, finora, 1.280 reti senza fili. I virus, purtroppo, non conoscono confini.

Il malware Switcher attacca il sistema DNS (Domain Name System), ossia quel meccanismo che traduce i nomi di dominio della rete in indirizzi IP e viceversa. Switcher, una volta preso il controllo del sistema di “name-resolution“, dirotta tutto il traffico di una data rete Wi-Fi verso siti controllati dai cyber criminali rendendo gli utenti vulnerabili ad attacchi di phishing, altro malware e adware. La tecnica funziona perché tutti router wireless, di solito, riconfigurano le impostazioni DNS dei dispositivi collegati alla propria rete e li forza a usare il suo stesso DNS malevolo.

Trojan cinese

Switcher-Android-01.jpgFonte foto: Kaspersky Lab

Come agisce il virus Switcher

Kasperky Lab ha scoperto che esistono, al momento, due versioni di questo trojan per Android. Uno si presenta sotto le false spoglie di un client per Android del motore di ricerca cinese Baidu, mentre l’altro è una finta versione di un’applicazione cinese utilizzata per la condivisione d’informazioni su reti WiFi pubbliche e private.

How the infection happens

The Switcher trojan, when an infected Android device connects to a Wi-Fi network, attacks the router and tries to access the web admin interface by the “brute force” method, that is, trying to guess the login details from a long list of username and password combinations. If it succeeds, then it replaces the DNS server with the one controlled by cyber criminals. And, because “you never know”, it also adds a backup one in case the first one stops working. At this point, all devices, since they use the malicious DNS provided by the router – as explained before – are hijacked on sites face to face with a potpourri of viruses, malware, phishing always with the same goal: stealing sensitive information.