Routereket manipulál egy androidos vírus

Egy olyan androidos károkozó ütötte fel a fejét, amely a TP-Link routerek beállításait manipulálja, és ezzel segíti a csalókat egyebek mellett adatlopásban.
 
hirdetés
A vírusírók sajnos ismét tanújelét adták annak, hogy egy kis kreativitásért nem kell a szomszédba menniük. Az nem újdonság, hogy routereket is célkeresztbe állítanak, és ilyen módon manipuláljak vagy éppen terelik el a hálózati adatforgalmat. Az viszont már érdekesebb, hogy ezt most nem PC-ken keresztül teszik meg, hanem okostelefonokat, táblagépeket fertőznek meg olyan alkalmazással, amely képes az útválasztók beállításainak módosítására. A támadóeszközt ezúttal a Switcher trójai szolgáltatja.
 
A Kaspersky Lab által vizsgált Switcher károkozó kifejezetten az Android alapú készülékek megfertőzésére alkalmas. Jelenleg elsősorban kínai felhasználókat vesz célba egy kompromittált Baidu alkalmazáson keresztül. Amikor a felhasználó ezt letölti a mobiljára, akkor a károkozó néhány engedélyt kér. Ha ezeket megkapja, akkor nekilát a feladatainak elvégzéséhez.
 
Először alaposan feltérképezi a helyi WiFi hálózatot, és lekérdezi a külső IP-címet. A hálózat legfontosabb adatait feltölti egy vezérlőszerverre, ahonnan aztán egy DNS-szerver címét kapja vissza. Ezt kiszolgálót a támadók annak függvényében tudják kiválasztani, hogy a fertőzött készülék mely internetszolgálatóhoz kapcsolódik.
 
A Switcher második lépésként nekilát a router feltérképezésének, majd megpróbálja elérni annak adminisztrációs felületét. Mindezt előre meghatározott felhasználónév és jelszó párosok próbálgatásával teszi meg. A jelenlegi variánsa az alábbi hitelesítő adatokkal próbálkozik:

  
Amennyiben a trójai sikerrel jár, és hozzáfér a router beállításaihoz, akkor a vezérlőszerveréről érkező DNS-címet beállítja az elsődleges DNS-kiszolgálóhoz, míg a másodlagos szervernek a Google által üzemeltett 8.8.8.8 IP-című kiszolgálót adja meg. Az utóbbira azért van szüksége, hogy ha a kompromittált DNS valamiért csődöt mond, akkor se legyen fennakadás az internetezésben. Vagyis a felhasználó ne vegyen észre semmit a történtekből, illetve a csalóknak legyen idejük új DNS-szervert kialakítani.
 
Egy kompromittált router több módon szolgálhatja a támadók céljait. Így például alkalmas lehet arra, hogy a felhasználókat nemkívánatos weboldalakra terelje, vagy éppen meghamisított banki weblapokat jelenítsen meg. Ha pedig ezeken adja meg a felhasználó a személyes, pénzügyi adatait, akkor azok rögtön a támadók kezébe kerülnek. Emellett egy problémás router esetén megnő a közbeékelődéses támadások kockázata is.
 
Egy izmos jelszó is sokat segíthet
 
A Kaspersky Lab tájékoztatása szerint a Switcher jelenleg a TP-Link routereket képes manipulálni. Azokat is abban az esetben, ha a fent említett, gyári vagy gyenge jelszavakkal működik a kiszemelt útválasztó. Ezért érdemes a routereken erős jelszavakat megadni, és ezzel elejét venni az ilyen típusú károkozásoknak. 
Vélemények
 
  1. 4

    Az OpenSSL komolyabb kockázatok felvető sebezhetőség miatt szorul frissítésre.

  2. 3

    A Windows egyik rendszerfájlja kapcsán egy sebezhetőségre derült fény.

  3. 3

    A Cisco Email/Web Security Appliance egy-egy biztonsági frissítést kapott.

 
Partnerhírek
​Flash Player frissítésnek álcázott androidos trójai

Az ESET szakemberei felfedeztek egy androidos eszközöket támadó veszélyes alkalmazást. Az Agent.JI trójai program feltört weboldalakon keresztül, Flash Player frissítésnek álcázva terjed.

Az ESET elnyerte a 100. Virus Bulletin díjat

Az ESET elnyerte a 100. Virus Bulletin díjat a NOD32 termékkel. Ennyi VB100-at egyetlen másik termék sem kapott még a minősítő szervezettől.

hirdetés
Közösség
1