Infecta tu Android para modificar los DNS del router, así es el nuevo troyano Switcher

logo_switcher

Kaspersky Lab alerta sobre un nuevo malware que infecta dispositivos Android con el fin de modificar las direcciones DNS del router al que está conectado, para redirigir todo el tráfico de la red a servidores privados.

 

Un nuevo malware de tipo Troyano anda suelto por la red, y lo han bautizado Switcher. Se trata de un código malicioso oculto (o no tanto) en 2 aplicaciones de procedencia china. Las aplicaciones en cuestión son ‘com.baidu.com‘ y ‘com.snda.wifi‘. El objetivo del código es acceder al router mediante un ataque de fuerza bruta, para modificar las direcciones que apuntan a los servidores DNS, cuando normalmente estas direcciones apuntan a los servidores de nuestro proveedor de servicios de Internet.

 

¿Porqué modifican estas direcciones?

Para los que no sepáis qué son y cómo funcionan los servidores DNS, echadle un ojo a la wiki. Básicamente estos servidores relacionan un nombre de dominio, por ejemplo “mscdroidlabs.es”, a una dirección IP numérica de 4 grupos de hasta 3 dígitos, con valores comprendidos entre 1 y 255, como por ejemplo “177.52.204.77”. Esto nos permite actualmente navegar por internet sin tener que recordar las direcciones IP de cada página, sino un nombre alfanumérico.

Cuando el malware consigue modificar estas direcciones, toda conexión a internet que se produzca desde cualquier dispositivo conectado a esa misma red será enviada a los servidores privados, que nos devolverán contenido suplantado con el fin de seguir obteniendo mas datos personales.

 

 

 

En cuanto a las aplicaciones

Como hemos dicho más arriba, este código se esconde tras 2 aplicaciones. La primera de ellas, la que pertenece al paquete ‘com.baidu.com’ es un simple navegador web que abre la versión móvil de Baidu – “http://m.baidu.com“.

La segunda aplicación: ‘com.snda.wifi’ intenta suplantar a esta otra ‘com.snda.wifilocating’. La función de la app original es una especie de red social para compartir los datos relacionados con una red wifi (incluida la contraseña) con otros usuarios. Es muy utilizada en ámbito empresarial y es una gran ayuda para conectarse a muchos puntos Wifi públicos.

 

Nikita Buchka de Kaspersky Lab, experto en seguridad en dispositivos móviles señala:

Este tipo de aplicaciones son ideales para códigos que infecten routers/puntos de acceso, ya que los usuarios están conectándose continuamente a routers diferentes. Así la infección prolifera muchísimo más rápido y se obtienen grandes tasas de datos debido a la gran cantidad de gente que utiliza los mismos puntos de acceso.

 

Quizás te interesa…

Ghost Push, el malware que infecta 600.000 dispositivos por día

 

El proceso de infección y desarrollo

Una vez se abre la aplicación Android en el dispositivo, esta notifica al servidor privado una nueva conexión y le transmite el BSSID / ‘Nombre de la red’. Seguidamente probará de acceder al router e identificarse como administrador probando una serie de nombres de usuario y contraseñas, este proceso es conocido como un “Ataque de Fuerza Bruta”. A continuación tenéis las credenciales que probará Switcher.

  • admin:00000000
  • admin:admin
  • admin:123456
  • admin:12345678
  • admin:123456789
  • admin:1234567890
  • admin:66668888
  • admin:1111111
  • admin:88888888
  • admin:666666
  • admin:87654321
  • admin:147258369
  • admin:987654321
  • admin:66666666
  • admin:112233
  • admin:888888
  • admin:000000
  • admin:5201314
  • admin:789456123
  • admin:123123
  • admin:789456123
  • admin:0123456789
  • admin:123456789a
  • admin:11223344
  • admin:123123123

 

Todas ellas son credenciales que encontramos por defecto en la mayoría de routers comercializados a nivel mundial. Aquí es donde vemos la poca seguridad que tienen ‘de serie’ estos dispositivos. La modificación de la contraseña de administrador que viene con el router es el primer paso fundamental que hay que hacer después de haberlo adquirido.

Si se consigue el acceso como administrador, Switcher intentara determinar que ISP o proveedor de servicio de internet tenemos contratado, con el fin de asignarnos uno de los 3 servidores DNS que tienen funcionando:

  • 101.200.147.153 – Pertenece al servidor DNS al que se conecta por defecto.
  • 112.33.13.11 y 120.76.249.59 son 2 servidores alternativos que son utilizados con algunos ISP en concreto.

 

Los routers y puntos de acceso actuales permiten configurar 2 direcciones de DNS distintos con el fin de alternar entre ellos si el primero no está disponible. En este caso el código malicioso solo modifica la primera dirección, utilizando un DNS de Google como segunda opción (8.8.8.8), así en el momento que el servidor privado de los piratas falle, automáticamente pasaremos a resolver los nombres de dominio con los servidores de Google.

Si Switcher consigue modificar las DNS lo reportará en sus servidores privados.

Como vemos, la aplicación se encarga de reportar cada acción a su servidor con el fin de tenerlo todo controlado. En caso que no pueda acceder al router, la aplicación seguirá esperando hasta que nos conectemos a una nueva red para seguir intentado infectar más routers.

 

 

La segunda parte de la infección, los servidores DNS

Acceder al router y modificar las direcciones de los servidores DNS es solo la primera fase, aquí conseguimos enviar la información a un servidor distinto. Pero como actúa el servidor DNS al otro lado de la conexión?

Un servidor DNS responde a solicitudes que envía el router, de manera que, si queremos visitar la página google.es necesitamos un servidor DNS que nos muestre la IP que pertenece a ese nombre de dominio. En la fuente del artículo se han añadido unos esquemas que nos permitirán entender mejor este proceso:

 

funcionamiento_dns

En el caso del servidor DNS al que apunta Switcher, lo que provocará será que nuestras peticiones vayan a su servidor y ellos nos devolverán la dirección de alguna página fraudulenta que nos intente descargar mas malware al dispositivo, o simplemente algún SCAM o suplantación de identidad de alguna web conocida como facebook, o clientes de email. Con un esquema lo veréis mejor:

funcionamiento_dns_suplantado

 

 

 

Comprueba las DNS en tu router

Para asegurarnos que no somos ni hemos sido víctimas de Switcher lo recomendable sería comprobar si las direcciones de los DNS en nuestro router siguen siendo los correctos. En el caso que nos encontremos con alguna de las 3 direcciones de las que hemos mencionado arriba deberiamos seguir estos pasos:

  1. Buscamos las DNS de nuestro ISP y las introducimos en el panel de control del router. Como alternativa, podemos utilizar las de Google. (8.8.8.8 y 4.4.4.4).
  2. Cambiamos la contraseña de Administrador del Router. Así, Switcher no podrá volver a ‘infectar’ este router.
  3. Habrá que identificar qué dispositivo Android es el que lleva el malware y proceded a su limpieza.

Hay que aclarar que existe una manera para frenar el malware y esta depende del tipo de router que tengamos. En los router de gama media tenemos a nuestra disposición un sistema que nos permite limitar los intentos que tenemos para introducir las credenciales válidas. En caso que fallemos más de X veces, nos hará esperar unos minutos, o quizás nos desconecta de la red.

 

Raramente un usuario fuera de china habrá utilizado estas aplicaciones, a no ser que sea un fanático de Baidu… Pero quien nos dice que el código no está dentro de otras aplicaciones?

 

fuente : securelist.com

 

Mario Camí Author

Desarrollador de aplicaciones Android. Amante de todo lo Open Source, de los videojuegos y nuevas tecnologías. En mi tiempo libre comparto todo lo aprendido y lo que aprendo en el desarrollo de Android a modo de artículo en el blog. La información nos hará libres!