Vírus de smartphone: Android entra para o 'clube de ataque' a roteadores

^{Acorda Cidade}

Especialistas da Kaspersky Lab descobriram uma evolução notável em um malware para sistema operacional Android: o Cavalo de Troia Switcher. Ele utiliza usuários de dispositivos Android como uma ferramenta para infectar roteadores de Wi-Fi, alterando suas configurações de DNS e redirecionando o tráfego dos dispositivos conectados à rede para sites controlados pelos invasores. Assim, os usuários ficam vulneráveis a phishing, malware, adware, etc. Os invasores alegam ter se infiltrado em 1.280 redes sem fio até o momento, principalmente na China.

“O cavalo de Troia Switcher marca uma nova tendência perigosa em ataques para redes e dispositivos conectados. Ele não ataca diretamente os usuários. Em vez disso, ele os transforma em cúmplices involuntários, movendo fisicamente as fontes de infecção. O cavalo de Troia visa a rede inteira, expondo todos os usuários, tanto pessoas quanto empresas, a uma grande variedade de ataques – do phishing a infecções secundárias. Um ataque bem-sucedido pode ser difícil de detectar e ainda mais difícil de mudar: as novas configurações podem sobreviver à reinicialização do roteador e, mesmo que o DNS anômalo seja desativado, o servidor DNS secundário estará disponível para continuar. A proteção dos dispositivos é mais importante, mas em um mundo conectado, não podemos nos permitir ignorar as vulnerabilidades de roteadores e redes Wi-Fi”, declarou Nikita Buchka, especialista em segurança móvel da Kaspersky Lab.

Os servidores de nomes de domínio (DNS) convertem um endereço web legível, como ‘x.com’, em um endereço IP numérico necessário para a comunicação entre computadores. A capacidade do cavalo de Troia Switcher de sequestrar esse processo permite que os invasores tenham controle quase completo sobre as atividades de rede que usam o sistema de resolução de nomes, como o tráfego de internet. Essa abordagem funciona porque, em geral, os roteadores sem fio redefinem as configurações do DNS de todos os dispositivos na rede para suas próprias configurações, forçando assim o uso do mesmo DNS anômalo por todos.

Ataques contra roteadores foram registrados massivamente no Brasil entre os anos de 2011 e 2012, ocasião em que criminosos conseguiram alterar o DNS em mais de 4 milhões e meio de dispositivos. O ataque era remoto e silencioso, explorando falhas dos dispositivos. Escolher uma plataforma popular como o Android para fazer esse ataque tem um alcance considerável, pois no Brasil e no mundo essa é a plataforma móvel mais popular.

A infecção é disseminada aos usuários por meio do download de uma das duas versões do cavalo de Troia para Android em um site criado pelos invasores. A primeira versão é disfarçada como um cliente Android do mecanismo de pesquisa chinês Baidu, e a outra é uma versão falsa bem-feita de um aplicativo chinês de compartilhamento de informações sobre Wi-Fi: WiFi.

Quando um dispositivo infectado se conecta a uma rede sem fio, o cavalo de Troia ataca o roteador e tenta forçar o caminho até a interface web do administrador, adivinhando a senha por meio de uma lista com combinações predefinidas de senhas e logins. Se a tentativa for bem-sucedida, o cavalo de Troia troca o servidor DNS existente por um servidor anômalo controlado pelos criminosos virtuais e também usa um DNS secundário a fim de garantir a estabilidade permanente, caso o DNS anômalo seja desativado.

Para ilustrar, o que normalmente acontece é:

Após um ataque com êxito do Switcher, é isso que acontece:

 

Os invasores criaram um site para promover e distribuir o aplicativo de Wi-Fi com o cavalo de Troia para os usuários. O servidor Web que hospeda esse site é duplicado como servidor de comando e controle (C&C) dos criadores do malware. As estatísticas de infecção interna identificadas em uma parte aberta desse site revelam que as solicitações dos invasores comprometeram 1.280 sites e, possivelmente, expuseram todos os dispositivos conectados a eles a outros ataques e infecções.

A empresa recomenda que todos os usuários verifiquem suas configurações de DNS, procurando pelos seguintes servidores DNS anômalos:
 

101.200.147.153
112.33.13.11
120.76.249.59

Se você tem um desses servidores em suas configurações de DNS, entre em contato com o suporte de seu provedor ou avise o proprietário da rede Wi-Fi. A Kaspersky Lab também recomenda que os usuários alterem o login e a senha padrão da interface web do administrador no roteador para evitar ataques semelhantes no futuro.

Para saber mais sobre o cavalo de Troia Switcher, leia a postagem no blog em Securelist.