O cavalo de Troia Switcher é a mais nova descoberta de especialistas da Kaspersky Lab. Trata-se, segundo eles, de uma evolução notável em um malware para sistema operacional Android, que utiliza usuários de dispositivos Android como uma ferramenta para infectar roteadores de Wi-Fi.

A praga cibernética altera as configurações de DNS e redireciona o tráfego dos dispositivos conectados à rede para sites controlados pelos invasores. Assim, os usuários ficam vulneráveis a phishing, malware, adware etc. Os invasores alegam ter se infiltrado em 1.280 redes sem fio até o momento, principalmente na China.

Segundo Nikita Buchka, especialista em segurança móvel da Kaspersky Lab, o cavalo de Troia Switcher marca uma nova tendência perigosa em ataques para redes e dispositivos conectados. Ele não ataca diretamente os usuários. Em vez disso, os transforma em cúmplices involuntários, movendo fisicamente as fontes de infecção.

O cavalo de Troia visa a rede inteira, diz o especialista, expondo todos os usuários, tanto pessoas quanto empresas, a uma grande variedade de ataques – do phishing a infecções secundárias. Um ataque bem-sucedido pode ser difícil de detectar e ainda mais difícil de mudar: as novas configurações podem sobreviver à reinicialização do roteador e, mesmo que o DNS anômalo seja desativado, o servidor DNS secundário estará disponível para continuar.

“A proteção dos dispositivos é mais importante, mas em um mundo conectado, não podemos nos permitir ignorar as vulnerabilidades de roteadores e redes Wi-Fi”, alerta.

Como funciona

Os servidores de nomes de domínio (DNS) convertem um endereço web legível, como ‘x.com’, em um endereço IP numérico necessário para a comunicação entre computadores. A capacidade do cavalo de Troia Switcher de sequestrar esse processo permite que os invasores tenham controle quase completo sobre as atividades de rede que usam o sistema de resolução de nomes, como o tráfego de internet.

Essa abordagem funciona porque, em geral, os roteadores sem fio redefinem as configurações do DNS de todos os dispositivos na rede para suas próprias configurações, forçando assim o uso do mesmo DNS anômalo por todos.

A infecção é disseminada aos usuários por meio do download de uma das duas versões do cavalo de Troia para Android em um site criado pelos invasores. A primeira versão é disfarçada como um cliente Android do mecanismo de pesquisa chinês Baidu, e a outra é uma versão falsa bem-feita de um aplicativo chinês de compartilhamento de informações sobre Wi-Fi:  WiFi????.

Quando um dispositivo infectado se conecta a uma rede sem fio, o cavalo de Troia ataca o roteador e tenta forçar o caminho até a interface web do administrador, adivinhando a senha por meio de uma lista com combinações predefinidas de senhas e logins.

Se a tentativa for bem-sucedida, o cavalo de Troia troca o servidor DNS existente por um servidor anômalo controlado pelos criminosos virtuais e também usa um DNS secundário a fim de garantir a estabilidade permanente, caso o DNS anômalo seja desativado.

Os invasores criaram um site para promover e distribuir o aplicativo de Wi-Fi com o cavalo de Troia para os usuários. O servidor Web que hospeda esse site é duplicado como servidor de comando e controle (C&C) dos criadores do malware.

As estatísticas de infecção interna identificadas em uma parte aberta desse site revelam que as solicitações dos invasores comprometeram 1.280 sites e, possivelmente, expuseram todos os dispositivos conectados a eles a outros ataques e infecções.

A empresa recomenda que todos os usuários verifiquem suas configurações de DNS, procurando pelos seguintes servidores DNS anômalos: 101.200.147.153; 112.33.13.11; e 120.76.249.59.