卡巴斯基實驗室(Kaspersky Lab)於本周揭露了一個新型態Android木馬程式Switcher,它能夠滲透Android裝置所連結的Wi-Fi基地臺,然後竄改基地臺上的DNS伺服器資料,將使用者導向偽造的網站網址,來執行惡意程式或進行網釣攻擊,估計已影響近1,300個無線網路,且絕大多數位於中國。

根據研究,Switcher的作者打造了十多個基於該木馬的Android程式,其中有一個嘗試假冒為中國搜尋龍頭「百度」,還有一個則是可協助使用者分享公共區域Wi-Fi熱點密碼的行動程式,後者為中國市場頗為熱門的行動程式類別。

一旦相關惡意程式感染了連至Wi-Fi網路的裝置,它即會向遠端的命令及控制(Command and Control,CnC)伺服器通報,之後便針對所連結的Wi-Fi基地臺進行暴力破解,測試不同的管理憑證以進入設定介面,成功之後即會把路由器上的DNS伺服器換成自家的。

自此以後,只要連上該路由器的使用者就會透過駭客所設置的惡意DNS伺服器來連網,而會被導至假冒的網站。DNS伺服器是用來把使用者所輸入的網域名稱轉換成網站真正的IP位址以進行連結,例如google.com的IP位址為87.245.200.153,但惡意DNS伺服器則會將其引導至其他IP位址。

該實驗室估計,在4個月內已有1280個無線網路遭到Switcher木馬滲透,大部份位於中國。

研究人員建議業者或使用者應設置複雜的路由器密碼,避免安裝可疑的Android程式,以及最好在裝置上安裝防毒程式等。最新的Kaspersky Antivirus & Security for Android已可偵測Switcher並供免費下載。


Advertisement

更多 iThome相關內容