Onlangs is er een nieuwe malware ontdekt die in plaats van de gebruikersgegevens te stelen, er gewoon de voorkeur aan geeft de routers aan te vallen waarmee de gebruiker verbinding maakt door de DNS te wijzigen.
Deze Android-malware kaapt router-DNS van smartphone
Beveiligingslekken in Android zijn niet langer een noviteit en zijn iets geworden dat bijna “normaal” is. Dit is geen perfect systeem, het wordt het meest gebruikt en dit zorgt voor een grotere blootstelling aan beveiligingsproblemen.
Er is nieuwe malware ontdekt en in plaats van gebruikersgegevens te stelen, valt het liever de routers aan waarmee de gebruiker verbinding maakt door de DNS te wijzigen.
Deze nieuwe malware van Android, die Switcher wordt genoemd, heeft een heel andere aanpak dan tot nu toe. Het richt zich niet op gebruikersgegevens of op het besturingssysteem zelf. Het geeft er de voorkeur aan andere elementen van het netwerk aan te vallen waarmee de smartphone is verbonden, en geeft er de voorkeur aan zich te richten op internettoegangsrouters, waar het probeert de gedefinieerde DNS-servers te wijzigen.
Door dit te doen, krijgt het meer controle over de resterende apparatuur en zorgt het voor een veel grotere impact op iedereen die verbinding maakt met het geĆÆnfecteerde netwerk en deze nieuwe DNS-servers gaat gebruiken.
Werkt deze aanval op Android?
Zoals we eerder zeiden, kijkt de Switcher niet naar Android en gebruikt hij het liever als een middel om bij de routers te komen die toegang geven tot internet, zich verspreidend in de draadloze netwerken waar Android verbinding mee maakt. Het idee van deze malware is om de gedefinieerde DNS-servers te wijzigen en een andere te gaan gebruiken die wordt beheerd door de aanvaller.

Om toegang te krijgen tot deze routers, gebruikt de Switcher een brute-force-techniek, waarbij hij probeert de toegangsgegevens te achterhalen, waarbij hij zijn toevlucht neemt tot bekende woordenboeken.
Na toegang tot de routers kan het de apparatuur detecteren en de gedefinieerde DNS-servers wijzigen met behulp van javascript en webtoegang. Het merk routers waar de Switcher het meest naar op zoek is, is de TP-Link.
Wanneer u deze wijziging doormaakt, heeft u deze servers gedefinieerd op alle apparaten die verbinding maken met dat netwerk, aangezien de meeste van hen deze servers ontvangen via de DHCP-service.

Het resultaat is dat gebruikers worden doorverwezen naar sites die niets te maken hebben met de sites die ze willen bezoeken, waar ze ongewenste advertenties en zelfs nieuwe malware- en virusinfecties zullen ontvangen.
Voor zover we weten, wordt deze malware verspreid via een nep-zoektoepassing in Baidu en een andere die zich toelegt op het delen van toegang tot draadloze netwerken.
Dit is nog een reden om extra voorzichtig te zijn en laat uw apparaten niet ingesteld met fabriekswachtwoorden of wachtwoorden die eenvoudig en gemakkelijk te raden zijn. Tot nu toe is er nog steeds geen oplossing voor dit probleem.