Le malware Switcher cible Android pour attaquer les réseaux Wi-fi

Sur le web

Par Gregori Pujol le

Kaspersky a découvert une évolution notable des malwares Android : le cheval de Troie Switcher. Celui-ci profite des utilisateurs Android pour infecter des routeurs Wi-Fi, modifiant leurs paramètres DNS. L’objectif est de rediriger le trafic des appareils connectés au réseau vers des sites web contrôlés par des cybercriminels, créant ainsi des vulnérabilités aux attaques de phishing, de malware, d’adware ou autres. Les auteurs de l’attaque affirment avoir infiltré avec succès 1280 réseaux sans fil à ce jour, principalement en Chine.

Comment Switcher procède-t-il ?

Les serveurs de noms de domaine (DNS) convertissent une adresse web explicite, par exemple « x.com » en l’adresse IP numérique nécessaire aux communications entre ordinateurs. La capacité du cheval de Troie Switcher à détourner ce processus permet à des cybercriminels de prendre presque entièrement le contrôle des activités réseau faisant appel au système de résolution de noms, comme c’est le cas du trafic Internet. Cette méthode fonctionne car les routeurs sans fil reconfigurent généralement les paramètres DNS de tous les équipements sur le réseau de façon à leur appliquer les leurs, ce qui force du même coup chacun à utiliser le même DNS pirate en cas d’attaque.
L’infection est répandue par des utilisateurs téléchargeant l’une des deux versions du cheval de Troie Android sur un site web créé par les auteurs de l’attaque. La première version se fait passer pour un logiciel client Android du moteur de recherche chinois Baidu et la seconde est une imitation très bien réalisée d’une application chinoise répandue, destinée au partage d’informations sur les réseaux Wi-Fi : WiFi万能钥匙.

Le mot de passe, maillon faible de la chaine ?

Lorsqu’un appareil infecté se connecte à un réseau sans fil, le cheval de Troie attaque le routeur et tente d’accéder par force brute à son interface web d’administration en devinant le mot de passe grâce à une longue liste d’identifiants prédéfinis. En cas de succès, le malware substitue au serveur DNS existant un système pirate contrôlé par des cybercriminels, en y associant également un DNS secondaire afin d’assurer la continuité des communications dans l’éventualité d’une défaillance du serveur primaire.

Voici une illustration de ce qui se passe en temps normal :

unnamed

Voilà ce qui arrive en cas de succès d’une attaque Switcher :

unnamed

Les auteurs de l’attaque ont mis en place un site web destiné à promouvoir et diffuser auprès des utilisateurs une application Wi-Fi infectée par le cheval de Troie. Le serveur Web qui héberge ce site fait également office de serveur de commande et de contrôle (C&C) pour le malware. Des statistiques internes repérées sur une partie publique de ce site révèlent que ses auteurs affirment avoir infecté 1280 sites web, menaçant ainsi potentiellement d’autres attaques et infections tous les appareils connectés à ceux-ci.

Ainsi, Kaspersky Lab recommande à tous les utilisateurs de vérifier leurs paramètres DNS et d’y rechercher la présence éventuelle des serveurs DNS pirates suivants :
·101.200.147.153
·112.33.13.11
·120.76.249.59

Si l’un de ces serveurs figure dans vos paramètres DNS, contactez le service de support de votre fournisseur d’accès ou alertez l’opérateur du réseau Wi-Fi.