"WiFi 万能钥匙"仿冒软件可更改路由设置、劫持网络 DNS 流量

导语:研究员最近发现了两个行迹诡异的 Android 木马版本,虽然针对Android系统的恶意软件已经不是什么新奇事了,但是这两个木马却很独特。

据卡巴斯基实验室报道,研究员最近发现了两个行迹诡异的 Android 木马版本,虽然针对Android系统的恶意软件已经不是什么新奇事了,但是这两个木马却很独特。因为它们并非对用户设备进行攻击、窃取信息,而是攻击用户连接 Wi-Fi 网络的路由器。

该木马名为“Trojan.AndroidOS.Switcher”,可以暴力破解路由器 Web 管理界面的用户名和密码,如果攻击成功则可以更改路由器设置中的 DNS 服务器地址,最终劫持流量重定向至恶意网站。截至目前,我们已经看到了该木马的两种版本:

acdb7bfebf04affd227c93c97df536cf;包名 – com.baidu.com
 64490fbecefa3fcdacd41995887fe510; 包名 – com.snda.wifi

第一个版本的木马( com.baidu.com )伪装成中国搜索引擎百度的安卓移动客户端,只要点击http://m.baidu.com链接就可以进入应用程序;另外一个木马版本伪装成中国最受欢迎的共享wifi信息的应用程序——“ WiFi 万能钥匙”,点击链接http://www.coolapk.com/apk/com.snda.wifilocating就可以进入程序。

switcher_club_eng_1-168x300.png

switcher_club_eng_2-169x300.png

为了增加可信度,网络犯罪分子甚至创建了一个网站用于传播恶意软件,并将软件命名为“ WiFi 万能钥匙显密码版”,宣称为用户提供明文密码方便电脑连接网络。

1483079948815648.png

感染过程 

该木马可以执行以下操作:

1、获取网络 BSSID 并与 C&C 服务器进行通信;
2、获取互联网服务提供商名称,并选择用于劫持路由器的 DNS 地址。有三种 可能的DNS 服务器地址,101.200.147.153;112.33.13.11;120.76.249.59。其中101.200.147.153是默认选择,其他两个则只对特定的互联网服务提供商开放。

3、使用词典暴力破解路由器 Web 管理界面的用户名和密码如下: 

admin:00000000
admin:admin
admin:123456
admin:12345678
admin:123456789
admin:1234567890
admin:66668888
admin:1111111
admin:88888888
admin:666666
admin:87654321
admin:147258369
admin:987654321
admin:66666666
admin:112233
admin:888888
admin:000000
admin:5201314
admin:789456123
admin:123123
admin:789456123
admin:0123456789
admin:123456789a
admin:11223344
admin:123123123

根据输入字段的硬编码名称和木马试图访问 HTML 文档的结构来看,目前木马的 JavaScript 代码仅适用于 TP-LINK Wi-Fi 路由器 Web 管理界面。

4. 如果试图进入管理页面的操作成功,该木马就会更改路由器 DNS 设置劫持网络流量,下图为其操作环节的web界面的截图和部分代码:

1483080042190644.png

1483080048432344.png

5. 如果更改路由器 DNS 设置成功,该木马就会把成功报告传送给C&C服务器;

switcher_club_eng_6.jpeg

影响范围

为了了解该木马行为的影响范围,我们需要了解DNS运行的基本原则。DNS是用于将人类可读的网络资源解析成一个用于实际的计算机网络通信中的IP地址。例如,“google.com”这一可读网络名称就可以解析成“87.245.200.153”的IP地址。一般来说,一个正常的DNS查询主要是通过如下步骤进行的:

1483080087703704.png

当使用DNS劫持时,网络犯罪分子可以更改受害者(我们例子中的受害者是路由器)的TCP/IP设置,以达到控制负责DNS查询的DNS服务器的目的,使其成为流氓DNS服务器。所以,流程会变成如下所示:

1483080106214222.png

正如我们所见,受害者并没有与真实的google.com发生通信,而是被愚弄到一个完全不同的网络资源中。这个伪造的google.com网站就可以保存你所有的搜索请求并将其发送给犯罪分子,或者重定位的网站只是一个充斥各种弹幕广告和恶意软件的网站等。攻击者使用name-resolving系统可以控制几乎全部的网络流量。

1483080160496214.png

从网络罪犯分子的 C&C 网站的统计结果可知至少有 1280 台路由器受影响,受害者主要在中国地区。

解决办法 

路由器设置被篡改,受影响的不再是个体,所有连接 WiFI 网络的设备都将受影响。这种篡改路由器设置的危险之处在于新的设置会重启路由器,使其很难发现DNS已经被劫持了。即使流氓DNS服务器有时会被禁用,二级DNS(8.8.8.8)也可以继续使用,对此用户需要格外注意。

我们建议所有用户查看路由器 DNS 设置,是否存在以下流氓 DNS 服务器地址:

101.200.147.153
 112.33.13.11
 120.76.249.59

如果存在上述流氓DNS 服务器地址,我们建议您尽快联系您的ISP支持或向wi – fi网络所有者发出警告。此外,卡巴斯基实验室还强烈建议用户修改Web管理界面默认用户名和密码,以防止此类攻击发生。

本文还参考了http://hackernews.cc/archives/4356中的部分观点。

源链接

Hacking more

...