PIXEL FACEBOOK
logo-blanco

Nuevo Malware De Android Roba Visitas Del Smartphone

malware dns para android

Lo que vas a encontrar...

Otro día, otro malware espeluznante para los usuarios de Android!

Investigadores de seguridad han descubierto un nuevo malware para Android, pero esta vez en lugar de atacar directamente al dispositivo, el malware se encarga de re dirigir el trafico conectado por WiFi, y secuestrar el tráfico web que pasa a través de él.

El nuevo malware de Android ha sido apodado como «Switcher», descubierto por investigadores de Kaspersky Lab, hackea los enrutadores inalámbricos y cambia su configuración de DNS para redirigir el tráfico a sitios web maliciosos.

Hace más de una semana, los investigadores de Proofpoint descubrieron ataques similares dirigidos a PCs, pero en lugar de infectar las máquinas del objetivo, el kit de explotación de Stegano toma el control de los enrutadores WiFi locales a los que está conectado el dispositivo infectado.

Como funciona el malware Switcher?

Actualmente, los hackers distribuyen el troyano Switcher disfrazándose como una aplicación para Android para el motor de búsqueda chino Baidu (com.baidu.com) y como una aplicación china para compartir detalles de la red Wi-Fi pública y privada (com.snda.wifilocating) .

Una vez que la víctima instala una de estas aplicaciones malintencionadas, el malware Switcher intenta iniciar sesión en el enrutador WiFi al que está conectado el dispositivo Android de la víctima mediante un ataque de fuerza bruta en la interfaz web de administración del enrutador con un conjunto de un diccionario predefinido (lista ) De nombres de usuario y contraseñas.

«Con la ayuda de JavaScript [Switcher] intenta iniciar sesión usando diferentes combinaciones de inicios de sesión y contraseñas», dice el experto en seguridad móvil Nikita Buchka de Kaspersky Lab en una publicación

«A juzgar por los nombres codificados de los campos de entrada y las estructuras de los documentos HTML a los que el troyano intenta acceder, el código JavaScript utilizado funcionará únicamente en las interfaces web de los enrutadores Wi-Fi TP-LINK».

Como infecta el malware Switcher?

Una vez que se accede a la interfaz de administración web, el troyano Switcher reemplaza los servidores DNS primario y secundario del router con direcciones IP que apuntan a servidores DNS maliciosos controlados por los atacantes.

malware dns android

Los investigadores dijeron que Switcher había utilizado tres direcciones IP diferentes – 101.200.147.153, 112.33.13.11 y 120.76.249.59 – como el registro DNS principal, uno es el predeterminado, mientras que los otros dos se establecen para proveedores de servicios de Internet específicos.

Debido al cambio en la configuración DNS del enrutador, todo el tráfico se redirige a sitios web maliciosos alojados en servidores propios de los atacantes, en lugar del sitio legítimo al que la víctima está intentando acceder.

«El troyano apunta a toda la red, exponiendo a todos sus usuarios, ya sean individuos o empresas, a una amplia gama de ataques – desde el phishing a la infección secundaria», dice el articulo .

«Un ataque exitoso puede ser difícil de detectar y aún más difícil de cambiar: la nueva configuración puede sobrevivir a un reinicio del router, e incluso si el DNS malicioso está deshabilitado, el servidor DNS secundario está a la mano para continuar».

Los investigadores pudieron acceder a los servidores de mando y control del atacante y descubrieron que el troyano Switcher ha comprometido casi 1.300 routers, principalmente en China y ha secuestrado el tráfico dentro de esas redes.

Consejos para evitar la infección

Los usuarios de Android deben descargar aplicaciones sólo de Google Play Store.

Mientras que la descarga de aplicaciones de terceros no siempre terminan con malware o virus, sin duda aumenta el riesgo. Por lo tanto, es la mejor manera de evitar que cualquier malware comprometa su dispositivo y las redes a las que accede.

También puede ir a Configuración → Seguridad y asegúrese de que la opción «Fuentes desconocidas» esté desactivada, si lo que requieres probar aplicaciones de otras fuentes deberás de volverla a activar.

Además, los usuarios de Android también deben cambiar el inicio de sesión y las contraseñas predeterminadas de su enrutador para que el desagradable malware como Switcher o Mirai, no puedan comprometer sus routers usando un ataque de fuerza bruta.

Facebook
Twitter
LinkedIn
WhatsApp

Deja una respuesta

Artículos Relacionados

Síguenos