Bezpieczeństwo

Szkodliwe aplikacje na Androida próbują zmienić adresy DNS na Twoim routerze

przeczytasz w 2 min.

W sklepie Play pojawiły się aplikacje, które mają ukryte zadanie – chcą włamać się do aktualnie użytkowanej przez Ciebie sieci Wi-Fi i zmienić jej ustawienia tak, byś logował się przez serwery DNS atakujących.

Android i jego oficjalne repozytorium to bardzo ciekawe miejsce. Pomimo tego, iż Google stara się panować nad swoim sklepem, wprowadzając m.in. coraz bardziej restrykcyjne mechanizmy badania „czystości” aplikacji pod względem szkodliwego dla potencjalnego użytkownika kodu, to i tak co jakiś czas dowiadujemy się o złośliwych aplikacjach. Tym razem zespół Kaspersky namierzył programy, które zawierały w sobie złośliwe oprogramowanie z grupy Wroba.o/Agent.eq (tzw. Moqhao, XLoader).

Aplikacja po pobraniu na smartfon, podejmuje próbę wejścia na router, do którego aktualnie podłączone jest urządzenie mobilne. Aby to zrobić, metodą siłową próbuje zalogować się do trasownika, korzystając z domyślnych adresów IP, nazw użytkownika i haseł (np. 192.168.0.1 z loginem i hasłem „admin”). Jeśli oprogramowaniu się to powiedzie, zmieni adresy serwerów DNS na ich złośliwe odpowiedniki, nad którymi sprawuje kontrolę grupa hakerska.

Przykładowy atak

Przykładowy atak ze zmianą adresów DNS na routerze

Dzięki temu operatorzy złośliwego oprogramowania mogą przekierowywać wszystkich użytkowników podłączonych do tej konkretnej sieci Wi-Fi (w tym oczywiście tych, bez złośliwego oprogramowania), do spreparowanych wersji popularnych stron internetowych. Dla przykładu – jeżeli zainfekowany smartfon połączy się z publiczną siecią Wi-Fi (np. w jakiejś restauracji czy kawiarni) i ostatecznie zmieni ustawienia serwera DNS w routerze, wszyscy inni w tej kawiarni, którzy spróbują połączyć się z Facebookiem, zostaną faktycznie przekierowani na fałszywą wersję portalu firmy Meta Platforms. Tam zostaną poproszeni o podanie danych logowania, a jeśli to zrobią, przekażą swoje dane logowania oszustom. Oczywiście analogiczna sytuacja będzie przy logowaniu na pocztę elektroniczną, czy do bankowości internetowej.

Hacking

Badacze nie podali nazw dystrybuowanych aplikacji, ale poinformowali, iż pliki APK zostały pobrane co najmniej 46 000 razy. Głównym rynkiem „zbytu” były następujące kraje: Japonia (aż 24 000(!) pobrań), Austria, Francja, Niemcy, Korei Południowa, Turcja, Malezja i Indie. Grupą stojąca za stworzeniem tych aplikacji prawdopodobnie była Roaming Mantis.

O atakach typu Phishing już nie raz mówiono (i śmiano się z ich pomysłowości) w sieci. Najbardziej stereotypowe przykłady możecie zobaczyć na poniższym filmie:

Aby chronić się przed tego typu atakami, najlepszym rozwiązaniem byłoby unikanie łączenia się z publicznymi sieciami Wi-Fi (no chyba, że mamy dobry VPN) i nie instalowanie „dziwnych” aplikacji z sieci i sklepu Play. Dodatkowo przypominamy – Pamiętajcie o prawidłowej konfiguracji swojej sieci. Zmieniajcie pulę adresów IP, ustawiajcie własne nazw użytkowników i silne hasła do logowania się na router. A Wy z jakich metod ochrony korzystanie podczas pracy w sieciach LAN i WAN? Piszcie!

Źródło: Techradar

Komentarze

12
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    pawluto
    6
    Jak ktoś ma ruter i login/hasło - admin/admin - to sam wystawia sobie laurkę o sobie...!!!
    • avatar
      que_pasa
      3
      Reklama podejrzanych usług typu VPN. Tego typu ataki na DNS przestały być skuteczne od kiedy praktycznie wszystkie strony internetowe korzystają z SSL. Aczkolwiek banalność i prostota takiego ataku jest zatrważająca i nikt od 10 leci nic z tym nie robi tylko zrzuca bezpieczenstwo sieci na urządzenia klienckie zamiast na infrastrukturę operatorów. A teraz minusujcie spece od bezpieczeństwa.
      • avatar
        Kenjiro
        1
        Śmieszny ten automatyczny tłumacz. Router to router, a nie trasownik. Nie wiem, czy to pisał ktoś z Dagmy, czy z Benchmarka, ale warto jednak przeczytać tekst przed jego publikacją.
        • avatar
          Konto usunięte
          -8
          "próbuje zalogować się do trasownika" - próbuje zalogować się do trawnika? W zimie trawnik jest w uśpieniu, więc nic z tego nie wyjdzie.

          Witaj!

          Niedługo wyłaczymy stare logowanie.
          Logowanie będzie możliwe tylko przez 1Login.

          Połącz konto już teraz.

          Zaloguj przez 1Login