01net

Switcher, il trojan che infetta i router

I dispositivi mobili utilizzati come via d’attacco per infettare i router wifi e da lì reindirizzare il traffico di rete verso altri siti controllati dai criminali informatici.
È questa la modalità di attacco utilizzata dal più recente trojan individuato dai laboratori di Kaspersky e non a caso denominato Switcher.

Si tratta di un malware che indirizza in particolare i dispositivi mobili a cuore Android e che finora sembra aver già colpito oltre un migliaio di reti wifi, prevalentemente in Cina, dal momento che le due versioni in cui fin ora si è palesato sono in un caso un client Android di Baidu, nell’altro una diffusa app cinese per la condivisione di informazioni sulle reti wifi.

Kaspersky: poco diffuso fuori dalla Cina ma preoccupante per la metodologia

Proprio la modalità di attacco è quella che impensierisce, dal momento che il malware è in grado di cambiare le impostazioni DNS, grazie a un attacco brute force, così da dare ai criminali il controllo quasi completo delle attività della rete, dal momento che il router infetto a sua volta riconfigura le impostazioni dei dispositivi di rete, forzandoli a utilizzare DNS nocivi.
Come accennato, in questo momento l’infezione sembra riguardare prevalentemente il mercato cinese, tuttavia, come sottolineano gli esperti di Kaspersky, la metodologia di attacco utilizzata può rappresentare una nuova tendenza nella cybersecurity: spostare fisicamente le fonti di infezioni.

Controllare i DNS del proprio router

L’utente non è attaccato direttamente, ma diventa a sua volta veicolo di infezione verso un trojan che potenzialmente prende di mira l’intera rete e che risulta particolarmente difficile da rilevare.
Per altro, anche nel caso di riconfigurazione del router, ogni DNS è accompagnato da un secondo DNS malevolo che entra in gioco se il primo viene disabilitato.
In questo momento sono stati resi noti tre DNS malevoli: nel caso fossero individuati nelle proprie impostrazioni, è bene contattare il proprio provider o l’amministratore di rete:
• 101.200.147.153
• 112.33.13.11
• 120.76.249.59