Routereket manipulál egy androidos vírus

Egy olyan androidos károkozó ütötte fel a fejét, amely a TP-Link routerek beállításait manipulálja, és ezzel segíti a csalókat egyebek mellett adatlopásban.
 
hirdetés
A vírusírók sajnos ismét tanújelét adták annak, hogy egy kis kreativitásért nem kell a szomszédba menniük. Az nem újdonság, hogy routereket is célkeresztbe állítanak, és ilyen módon manipuláljak vagy éppen terelik el a hálózati adatforgalmat. Az viszont már érdekesebb, hogy ezt most nem PC-ken keresztül teszik meg, hanem okostelefonokat, táblagépeket fertőznek meg olyan alkalmazással, amely képes az útválasztók beállításainak módosítására. A támadóeszközt ezúttal a Switcher trójai szolgáltatja.
 
A Kaspersky Lab által vizsgált Switcher károkozó kifejezetten az Android alapú készülékek megfertőzésére alkalmas. Jelenleg elsősorban kínai felhasználókat vesz célba egy kompromittált Baidu alkalmazáson keresztül. Amikor a felhasználó ezt letölti a mobiljára, akkor a károkozó néhány engedélyt kér. Ha ezeket megkapja, akkor nekilát a feladatainak elvégzéséhez.
 
Először alaposan feltérképezi a helyi WiFi hálózatot, és lekérdezi a külső IP-címet. A hálózat legfontosabb adatait feltölti egy vezérlőszerverre, ahonnan aztán egy DNS-szerver címét kapja vissza. Ezt kiszolgálót a támadók annak függvényében tudják kiválasztani, hogy a fertőzött készülék mely internetszolgálatóhoz kapcsolódik.
 
A Switcher második lépésként nekilát a router feltérképezésének, majd megpróbálja elérni annak adminisztrációs felületét. Mindezt előre meghatározott felhasználónév és jelszó párosok próbálgatásával teszi meg. A jelenlegi variánsa az alábbi hitelesítő adatokkal próbálkozik:

  
Amennyiben a trójai sikerrel jár, és hozzáfér a router beállításaihoz, akkor a vezérlőszerveréről érkező DNS-címet beállítja az elsődleges DNS-kiszolgálóhoz, míg a másodlagos szervernek a Google által üzemeltett 8.8.8.8 IP-című kiszolgálót adja meg. Az utóbbira azért van szüksége, hogy ha a kompromittált DNS valamiért csődöt mond, akkor se legyen fennakadás az internetezésben. Vagyis a felhasználó ne vegyen észre semmit a történtekből, illetve a csalóknak legyen idejük új DNS-szervert kialakítani.
 
Egy kompromittált router több módon szolgálhatja a támadók céljait. Így például alkalmas lehet arra, hogy a felhasználókat nemkívánatos weboldalakra terelje, vagy éppen meghamisított banki weblapokat jelenítsen meg. Ha pedig ezeken adja meg a felhasználó a személyes, pénzügyi adatait, akkor azok rögtön a támadók kezébe kerülnek. Emellett egy problémás router esetén megnő a közbeékelődéses támadások kockázata is.
 
Egy izmos jelszó is sokat segíthet
 
A Kaspersky Lab tájékoztatása szerint a Switcher jelenleg a TP-Link routereket képes manipulálni. Azokat is abban az esetben, ha a fent említett, gyári vagy gyenge jelszavakkal működik a kiszemelt útválasztó. Ezért érdemes a routereken erős jelszavakat megadni, és ezzel elejét venni az ilyen típusú károkozásoknak. 
Vélemények
 
  1. 4

    A Cisco magas és kritikus veszélyességi besorolású sebezhetőségeket szüntetett meg az IOS/IOS XE esetében.

  2. 3

    A Samba egy biztonsági frissítéssel gyarapodott.

  3. 1

    Az Actoin trójai hátsó kapuk kiépítésében segíti a támadókat, akiknek minden parancsát teljesíti.

 
Partnerhírek
Vault 7: Semmi sincs biztonságban?

A Wikileaks megszellőztette CIA dokumentumok azt támasszák alá, amit a biztonsági szakemberek régóta gyanítottak: a titkosszolgálatok saját kibertámadási eszközöket fejlesztenek, hogy céljaikat elérhessék.

Hiba vagy beépített funkció?

Beépített parancssorok segítségével a helyi adminisztrátor átveheti az ellenőrzést egy másik felhasználó Windows fiókja felett, úgy, hogy még a jelszavát sem kell tudnia. ​A Microsoft álláspontja szerint ez nem biztonsági hiba.

hirdetés
Közösség
1