Mas e se a página falsa da web estiver hospedada em uma página legítima? Esse cenário é bem plausível – e os caras malvados nem precisam hackear o servidor que hospeda a página alvo. Vamos examinar como isso funciona.
Interceptação e alteração de solicitações de DNS
O truque aqui está na forma em que os endereços de páginas da web são como extensões dos endereços de IP com os quais a Internet funciona. Essa extensão chama DNS – Domain Name System. Toda vez que é digitado o endereço de um site na barra de endereço, seu computador envia uma solicitação para um servidor DNS, que retorna o endereço do domínio solicitado.
Por exemplo, quando você digita google.com, o servidor de DNS respectivo retorna o endereço de IP 87.245.200.153 – o local para qual você está sendo efetivamente direcionado. Basicamente, é isso que ocorre:
A questão é: cibercriminosos podem criar seu próprio servidor DNS que redireciona sua navegação para outro endereço de IP (digamos, 6.6.6.6) em resposta ao seu “google.com”, e esse endereço pode hospedado um site malicioso. Esse processo é o que chamamos de sequestro de DNS.
Agora, o sucesso dessa atividade depende de um método que faz com que as pessoas usem um servidor de DNS malicioso, que as direciona para um site falso, no lugar de um legítimo. Abaixo temos a forma que os criadores do Trojan Switcher encontraram para resolver esse problema.
Como o Switcher funciona
Os desenvolvedores do Switcher criaram alguns aplicativos Android. Um deles o Baidu (aplicativo de buscas chinês, análogo ao Google) e outro se passa por um aplicativo de busca de senhas para WiFi público, que auxilia usuários a compartilhar senhas de pontos de acessos públicos; esse tipo de serviço é muito popular na China.
Uma vez que o aplicativo malicioso se infiltra no smartphone alvo e se conecta à rede WiFi, comunica-se com um servidor de comando e controle (C&C) e reporta que o Trojan foi ativado em uma rede em particular. Também fornece o ID da rede.
E aí que o Switcher começa a hackear o roteador. Testa várias credenciais de administrador para tentar entrar nas configurações da interface. Julgando pela forma que essa parte do Trojan funciona, o método é funcional apenas para roteadores TP-Link.
Se o Trojan conseguir identificar as credenciais corretas, altera as configurações do servidor DNS legítimo para um malicioso. Além disso, o malware configura um DNS do Google legítimo tendo como DNS secundário 8.8.8.8., de modo que a vítima não note caso o servidor malicioso fique fora do ar.
Na maioria das redes sem fio, dispositivos obtém suas configurações de rede (incluindo endereços de servidor DNS) de roteadores, de modo que todos os usuários que se conectam a uma rede comprometida irão usar o servidor DNS malicioso por definição.
O Trojan reporta o sucesso para o servidor de C&C. Nossos especialistas, que encontraram o malware, tiveram sorte e descobriram dados sobre ataques bem-sucedidos, deixados para trás na parte pública do site.
Se os números do Switcher forem precisos, em menos de um mês o malware conseguiu infectar 1.280 redes sem fio, com todo o tráfego dos usuários desses pontos de acesso ao dispor dos bandidos.
Como se proteger desses ataques
- Utilize configurações adequadas ao seu roteador. Antes de mais nada, mude a senha padrão para uma mais complexa
- Não instale aplicativos suspeitos em seu smartphone Android. Baixe apenas da loja oficial – mesmo que infelizmente, Trojans consigam se infiltrar nelas, app stores oficiais ainda são bem mais confiáveis que as paralelas.
- Use um antivírus robusto em todos os seus dispositivos para maximizar sua proteção. Caso você ainda não faça isso, você pode instalar um agora mesmo: é o link para a versão oficial do Kaspersky total security & Security for Android. Nossa solução de segurança detecta esse malware como Trojan.AndroidOS.Switcher e mantém sua rede WiFi a salvo.
Nenhum comentário:
Postar um comentário