Switcher木马入侵方式
Switcher开发人员创建了若干个Android应用程序,其中一个模仿百度,另一个伪装成公共Wi-Fi密码搜索应用程序,帮助用户将密码共享到公共热点;这种类型的服务在中国也相当受欢迎。
一旦恶意应用程序潜入连接到Wi-Fi网络的目标智能手机,就会与指挥控制(C&C)服务器进行通信,并报告该木马已在特定网络中激活。此外,它还提供了一个网络ID。
随后,Switcher开始劫持Wi-Fi路由器。它会测试用于登录到设置界面的各种管理凭证。根据这部分木马的工作方式,目前只要使用TP-Link路由器,这种方法就能起作用。
如果木马设法识别到正确的凭证,就能进入路由器的设置页面,将合法的默认DNS服务器地址更改为恶意DNS服务器。恶意软件还会将IP地址为8.8.8.8的合法Google DNS服务器设置为辅助DNS,这样一来,只要恶意DNS服务器关闭,受害者就不会注意到任何内容
在大多数无线网络中,设备从路由器获取其网络设置(包括DNS服务器的地址),因此默认情况下,所有连接到被劫持网络的用户都会使用恶意DNS服务器。
木马会将成功劫持的地址报告给指挥控制服务器。我们公司发现这种木马的专家们运气很好,他们发现了不小心留在网站公共部分中的成功攻击统计数
如果Switcher的数据准确,那说明在不到四个月的时间里,这款恶意软件已经成功感染了1280个无线网络,所有来自这些热点的用户流量均操控在罪魁祸首手中
Switcher开发人员创建了若干个Android应用程序,其中一个模仿百度,另一个伪装成公共Wi-Fi密码搜索应用程序,帮助用户将密码共享到公共热点;这种类型的服务在中国也相当受欢迎。
一旦恶意应用程序潜入连接到Wi-Fi网络的目标智能手机,就会与指挥控制(C&C)服务器进行通信,并报告该木马已在特定网络中激活。此外,它还提供了一个网络ID。
随后,Switcher开始劫持Wi-Fi路由器。它会测试用于登录到设置界面的各种管理凭证。根据这部分木马的工作方式,目前只要使用TP-Link路由器,这种方法就能起作用。
如果木马设法识别到正确的凭证,就能进入路由器的设置页面,将合法的默认DNS服务器地址更改为恶意DNS服务器。恶意软件还会将IP地址为8.8.8.8的合法Google DNS服务器设置为辅助DNS,这样一来,只要恶意DNS服务器关闭,受害者就不会注意到任何内容
在大多数无线网络中,设备从路由器获取其网络设置(包括DNS服务器的地址),因此默认情况下,所有连接到被劫持网络的用户都会使用恶意DNS服务器。
木马会将成功劫持的地址报告给指挥控制服务器。我们公司发现这种木马的专家们运气很好,他们发现了不小心留在网站公共部分中的成功攻击统计数
如果Switcher的数据准确,那说明在不到四个月的时间里,这款恶意软件已经成功感染了1280个无线网络,所有来自这些热点的用户流量均操控在罪魁祸首手中