Troyano Switcher prefiere atacar a través de android

Geraldine Varela

El método de este ataque funciona porque los routers inalámbricos generalmente manejan sus propios DNS para todos los dispositivos que se conectan a la red, de modo que si los DNS son maliciosos, todos los usuarios conectados a la red se van a redirigir hacia los sitios web maliciosos sin consentimiento alguno.

Geraldine Varela @varelageraldine

Expertos descubrieron recientemente una evolución notable en el malware que ataca al sistema operativo Android: el troyano Switcher. Este virus utiliza a los usuarios de dispositivos Android desprevenidos como vehículos para complicar los routers Wi-Fi a los que están conectados y luego redirigir el tráfico de dichos aparatos hacia sitios web bajo el control de los cibercriminales.

Expertos de Kaspersky Lab aseguraron que los delincuentes, mediante este troyano, tras ingresar a los  dispositivos Android y comprometer los routers, dejan a los usuarios vulnerables a ataques de phishing, malware y adware. Quienes se adjudican este tipo de ataques afirman que ya han infiltrado exitosamente unos 1,280 routers inalámbricos, principalmente en el continente asiático.

Los servidores de nombres de dominio (DNS por sus siglas en inglés) convierten una dirección web legible como ‘x.com’ en la dirección numérica IP que se requiere para las comunicaciones entre computadoras. La habilidad del troyano Switcher para secuestrar este proceso permite que los atacantes controlen, casi de manera completa, la red que utiliza el sistema de resolución de nombres, como es el tráfico de Internet.

Le puede interesar: Troyano SMS afecta a usuarios de Android en América Central

El método de este ataque funciona porque los routers inalámbricos generalmente manejan sus propios DNS para todos los dispositivos que se conectan a la red, de modo que si los DNS son maliciosos, todos los usuarios conectados a la red se van a redirigir hacia los sitios web maliciosos sin consentimiento alguno.

La infección es propagada por usuarios que descargan una de las dos versiones del troyano Android desde un sitio web creado por los atacantes. La primera versión viene disfrazada como un cliente Android del motor de búsqueda chino Baidu y la otra es una versión falsa bien hecha de una popular aplicación china para compartir información sobre redes Wi-Fi. 

También: Troyanos en móviles acechan las cuentas bancarias

Cuando un dispositivo infectado se conecta a una red inalámbrica, el troyano ataca el router y  abre la interfaz de administración web intentando acertar la contraseña, basándose en una larga lista predefinida de combinaciones de contraseñas y de nombres de usuarios. Si el intento tiene éxito, el troyano suplanta la configuración de los servidores DNS existentes por una dirección maliciosa, controlada por los cibercriminales y también un DNS secundario legítimo, para garantizar que se mantenga la estabilidad en caso de que el DNS malicioso deje de funcionar.

Los atacantes han construido un sitio web para promover y distribuir la aplicación Wi-Fi troyanizada a los usuarios. El servidor web que hospeda este sitio funciona también como un centro de comando y control (C&C, por sus siglas en inglés) de los autores del programa malicioso.

Las estadísticas internas sobre las infecciones producidas que aparecen en una parte abierta de este sitio web, revelan lo que afirman los atacantes: han comprometido 1,280 routeadores Wi-Fi, potencialmente exponiendo a todos los dispositivos conectados a ellos a nuevos ataques e infecciones.

“En el pasado, hemos vimos algunas situaciones cuando varias técnicas maliciosas inventadas en la región fueron adoptadas por los criminales cibernéticos de Europa Oriental. Ahora vemos que los cibercriminales de Asia también están a la mira de las técnicas explotadas con éxito en Latinoamérica y las reciclan para usarlas en sus operaciones”, comentó Dmitry Bestuzhev, director del equipo de investigación y análisis en Kaspersky Lab.

Una de las recomendaciones que hacen los expertos  a los usuarios es cambiar el nombre y contraseña predeterminados de la interfaz web del administrador del routeador para evitar tales ataques en el futuro, además de actualizar el firmware de su dispositivo.

 

Este artículo está clasificado como: , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR