【木马分析】新型Android恶意软件:通过智能手机劫持路由器的DNS

阅读量187863

|

发布时间 : 2016-12-29 17:26:26

x
译文声明

本文是翻译文章,文章来源:securelist.com

原文地址:https://securelist.com/blog/mobile/76969/switcher-android-joins-the-attack-the-router-club/

译文仅供参考,具体内容表达以及含义原文为准。

https://p3.ssl.qhimg.com/t016d22f2e57ec19eb8.png

翻译:pwn_361

预估稿费:170RMB(不服你也来投稿啊!)

投稿方式:发送邮件linwei#360.cn,或登陆网页版在线投稿

概述

我们怀着永无止境的追求,去保护世界免受恶意软件威胁。近日,我们发现了一个行为不端的Android木马。尽管恶意软件针对Android操作系统,早已不是一个新鲜事了,但是我们发现的这个木马相当的独特。因为它并不攻击用户,它的攻击目标是用户连接的Wi-Fi网络,或者,确切地说,攻击目标是为网络服务的无线路由器。这个木马名字是“Trojan.AndroidOS.Switcher”,该木马会针对路由器的Web管理页面,进行密码暴力破解攻击。如果攻击成功,该恶意软件会在路由器设置中更改DNS服务器的地址。从而将用户的所有DNS查询,从被攻击的Wi-Fi网络重定向到攻击者那里(这样的攻击也被称为DNS劫持)。因此,下面我们详细解释一下Switcher如何进行密码暴力破解攻击,并进入路由器,进行DNS劫持。


聪明的小骗子

迄今为止,我们已经看到了这个木马的两个版本:

http://p4.qhimg.com/t016cf57cc204e1c10d.png

该木马的第一个版本(com.baidu.com),将自己伪装成了百度搜索引擎的一个手机客户端,在这个应用程序里简单的打开了一个百度的URL(http://m.baidu.com)。该木马的第二个版本伪装成Wi-Fi万能钥匙应用程序,这是一个非常受欢迎的软件,使用这个软件通常都是在有Wi-Fi的情况下,因此,对于针对路由器的恶意软件,这是一个绝佳的隐藏地方,非常方便恶意软件传播。

http://p5.qhimg.com/t016b3f92ad77085bbf.png

攻击者甚至还专门制作了一个软件介绍网站,用于传播这个假冒的“Wi-Fi万能钥匙”。这个网站所在的服务器,同时也被作为恶意软件的命令和控制(C&C)服务器。

http://p7.qhimg.com/t01e46331203b3a1c3d.png


感染过程

该Android木马运行后会执行以下操作:

1. 获取网络的BSSID,并且通知C&C服务器,木马在该网络中已经被激活。

2. 试图获得ISP(互联网服务提供商)的名称,根据结果,确定恶意DNS服务器用于DNS劫持。有三个可能的DNS服务器,分别是:101.200.147.153,112.33.13.11和120.76.249.59。101.200.147.153是默认选择,其他的DNS只有在特殊ISPs下才会用。

3. 使用下面预定义好的登录名和密码字典,展开密码暴力攻击:

http://p1.qhimg.com/t014d34cc8d03bfea77.png

木马会获取默认网关地址,在JavaScript 脚本的帮助下,它会用各种帐号和密码的组合进行尝试登录。然后根据返回的输入字段的固定字符串,和HTML文档来判断是否成功。这个JavaScript脚本只在TP-LINK WI-FI路由器上有效。

4. 如果路由器管理接口的密码被成功破解,该木马会进入到WAN设置区域,并将首选DNS服务器改为攻击者控制的恶意DNS服务器,将备用DNS设置为8.8.8.8(这是谷歌DNS,在恶意DNS不稳定的情况下,可以保证网络稳定)。JavaScript脚本执行是自动完成的。为了更好的说明它的工作过程,我对路由器WEB界面作了一个截屏,如下图:

http://p8.qhimg.com/t019e1702419d08127e.png

下面是JavaScript脚本,会自动设置好各项参数:

http://p1.qhimg.com/t01626ebce5e87fbfee.png

5. 如果DNS修改成功,木马会向C&C服务器发送成功的消息。

http://p7.qhimg.com/t01e30f3e0d51eef76b.jpg


木马会做什么坏事

理解正常DNS工作的基本规则,能让我们更深刻认识到DNS被劫持的危险性,DNS用于将人类容易读取的网络资源名称(例如网站域名)解析为IP地址,这个IP地址用于计算机网络的实际通信。例如,“google.com”将会被解析为“87.245.200.153”,通常,一个正常的DNS查询是按照下图步骤执行的:

当使用DNS劫持时,攻击者会改变受害者的TCP/IP设置,迫使用于DNS查询的服务器被攻击者控制—-一个恶意的DNS服务器。因此,上面的执行步骤会变成这样的:

正如你所看到的,受害人访问的并不是真正的google.com,而是攻击者想让你访问的那个网站。这可能是一个假的google.com,会存储你所有的搜索请求,并发送给攻击者,也可以是一个随机的网站,能弹出一堆广告或恶意软件,或其他任何东西。使用这个假的名称解析系统,攻击者能完全控制该网络的流量。

你可能会问——这有什么关系呢:路由器并没有浏览网站,因此,危险在哪里呢?很不幸,按照Wi-Fi路由器最常见的设置,连接到它上面的设备,DNS通常会和Wi-Fi路由器设置的一样。从而迫使所有网络中的设备使用相同的恶意DNS。因此,如果获得一个路由器DNS设置的权限,所有连接到这个Wi-Fi路由器的设备的流量,攻击者都可以控制。

我们发现,攻击者做的还是不够小心,导致他们C&C网站的开放部分,留下了内部感染统计信息。

http://p3.qhimg.com/t01ec6cf5d33a6921c0.png

根据这个数据,他们已经成功渗透了1280个Wi-Fi网络,如果这是真的,这些网络的所有用户的流量是很容易被重定向,非常危险。


结论

Trojan.AndroidOS.Switcher木马并没有直接攻击用户,它的目标是整个网络,暴露在它下面的所有用户,很容易遭受到很多手段的攻击—-从钓鱼到二次感染。这种篡改路由器设置的主要危险是:即使重启路由器,DNS设置仍然会生效,并且很难发现DNS被劫持。即使恶意DNS服务器出现了短暂的故障,IP为8.8.8.8的备用DNS就会被启用,用户不用察觉到。

我们建议所有用户检查他们的DNS设置,检查DNS地址是不是以下IP地址:

101.200.147.153

112.33.13.11

120.76.249.59

如果你DNS IP地址是其中一个,请立即进行修改,同时,强烈建议更改路由器的用户名和密码,以防止再次被攻击。

本文翻译自securelist.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
pwn_361
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66