导语:安全研究员发现有一个安卓恶意软件正在瞄准安卓设备,这次的恶意软件没有选择直接攻击设备,转而控制安卓设备连接的WIFI路由器,然后劫持所有流经路由器的流量。
对于安卓用户来说,Cyanogen停止服务已是无法承受的打击,然而安卓用户的悲惨命运还没有结束,安卓用户正在被一个非常危险的安卓木马攻击。
卡巴斯基实验室的安全研究员发现有一个安卓恶意软件正在瞄准安卓设备,这次的恶意软件没有选择直接攻击设备,转而控制安卓设备连接的WIFI路由器,然后劫持所有流经路由器的流量。
新型恶意木马:不攻击设备转而控制路由器
卡巴斯基实验室的安全研究员将这一安卓恶意软件命名为Switcher,它能入侵无线路由器,更改DNS设置,然后将流量重定向到一个恶意网站上。一周以前,Proofpoint的安全研究员也发现了一个类似的攻击,只不过针对的是PC。他们发现的类似攻击也是没有直接攻击受害者电脑,转而控制电脑所连接的本地无线路由器。
Switcher木马会将自己伪装成中文版百度搜索引擎的安卓客户端和共享WIFI网络的安卓客户端。一旦受害者安装了这些恶意应用,Switcher会尝试登录设备连接的无线路由器,尝试登录的方法当然还是暴力攻击,就是利用现有的用户名和密码找到匹配账号。
卡巴斯基实验室的移动安全专家Nikita Buchka在其博客中写到:
根据木马尝试访问的input字段硬编码名称和HTML文档构架,可以得知,JavaScript只在TP-LINK Wi-Fi 路由器的Web界面上工作。
一旦成功访问路由器的Web管理界面,Switcher会将DNS服务器的IP地址换成受攻击者控制的恶意DNS服务器。安全研究员发现Switcher共使用了3个不同的IP地址:101.200.147.153、112.33.13.11、120.76.249.59。
因为攻击者可以更改路由器的DNS设置,所以也就可以将所有的流量重定向到一个恶意网站上,从而监控受害者发送出去的信息。
该木马针对的是整个网络,也就是说所有的用户(不管是个人还是企业)都会暴露在攻击之中。Switcher的攻击方式很难被发现,也很难被清除。重启路由器并不能擦除掉Switcher,而且即便你废除了Switcher使用的IP地址,另外一个后补IP地址将会继续恶意操作。
安全研究员拿下了攻击者的C&C服务器,发现Switcher已经入侵了将近1300个路由器,并且大部分位于中国。
安全建议
对于安卓用户,如果想下载应用,建议从谷歌官方Play Store下载。第三方商城上的应用存在恶意软件的几率非常高,小心慎下。
另外,建议对设备设置一些安全权限,不允许不受信任的应用安装在设备上。
最后,一定记得更改所有设备的默认设置,以避免不必要的麻烦。