تروجان اندرویدی Switcher: نفوذ به مسیریاب‌ها و سرقت ترافیک

محققان آزمایشگاه کسپرسکی، تروجان اندرویدی جدیدی را مشاهده کردند. این تروجان به مسیریاب‌ها نفوذ کرده و تنظیمات DNS آن را بنحوی تغییر می‌دهد که ترافیک به سمت وب‌گاه‌های مخرب هدایت شود.

این بدافزار با نام Switcher به یک کارخواه اندرویدی برای موتور جستجوی چینی Baidu و یک برنامه‌ی چینی برای اشتراک جزئیات شبکه‌های وای‌فای تبدیل شده است. زمانی‌که کاربر یکی از این برنامه‌ها را نصب می‌کند، بدافزار تلاش می‌کند نام کاربری و گذرواژه‌ی مسیریابی که دستگاه آلوده به آن متصل شده را حدس بزند.

بدافزار Switcher فهرستی از نام کاربری و گذر‌واژه‌های ترکیبی ِ پیشنهادی دارد که به مهاجم اجازه می‌دهد با استفاده از این ترکیب نام کاربری و گذرواژه، به رابط مدیریتی مسیریاب دست پیدا کند. این ترکیب‌ها عبارتند از admin:admin، admin:۱۲۳۴۵۶ و admin:۰۰۰۰۰۰۰۰.

یک محقق امنیتی در حوزه‌ی امنیت تلفن همراه از آزمایشگاه کسپرسکی، در یک پست وبلاگی نوشت: «این بدافزار با کمک جاوا اسکریپت تلاش دارد با استفاده از ترکیب‌های نام کاربری و گذرواژه، وارد حساب مدیریتی مسیریاب شود. باتوجه به نام‌های هارکدشده در فیلدهای ورودی و همچنین ساختار اسناد HTML که بدافزار تلاش می‌کند به آن‌ها دست یابد، می‌توان حدس زد که کد جاوا اسکریپت تلاش می‌کند بر روی رابط وب مسیریاب‌های وای‌فای TP-LINK کار کند.»

زمانی‌که مهاجم به رابط وب مدیریتی دست یافت، کارگزارهای DNS اصلی و ثانویه دستگاه را با آدرس‌های IP کارگزارهای مخرب جایگزین می‌کند. این آدرس‌های IP عبارتند از: ۱۰۱.۲۰۰.۱۴۷.۱۵۳، ۱۱۲.۳۳.۱۳.۱۱ و ۱۲۰.۷۶.۲۴۹.۵۹. یکی از این آدرس‌های IP به‌طور پیش‌فرض استفاده می‌شود و دو مورد دیگر برای ISP های خاص بکار می‌رود.
محققان امنیتی اشاره کردند: «کدی که این عملیات را اجرا می‌کند بسیار کامل است چرا که به‌گونه‌ای طراحی شده تا بر روی طیف وسیعی از مسیریاب‌ها عمل کرده و در حالت آسنکرون استفاده شود.»

با تغییر تنظیمات DNS مسیریاب، ترافیک بجای ارسال به سمت وب‌گاه قانونی، به سمت ماشین مخربی که تحت کنترل مهاجمان است، هدایت می‌شود. به گزارش کسپرسکی، مهاجمان نزدیک به ۱۳۰۰ وب‌گاه در چین را با این روش آلوده کرده‌اند.
محققان کسپرسکی گفتند: «این تروجان تمام شبکه و همه‌ی کاربران آن را هدف قرار می‌دهد. از افراد شخصی گرفته تا کسب‌وکارهای تجاری را با استفاده از فیشینگ تا آلودگی‌های ثانویه در معرض خطر قرار می‌دهد. اگر حمله‌ای با موفقیت انجام شود حتی شناسایی آن نیز سخت خواهد بود. تنها راه برای تنظیم مجدد کارگزارهای DNS نیز راه‌اندازی و بوت مجدد دستگاه است.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap