卡巴斯基实验室(Kaspersky Lab)于本周揭露了一个新型态Android木马程式Switcher,它能够渗透Android装置所连结的Wi-Fi基地台,然后窜改基地台上的DNS伺服器资料,将使用者导向伪造的网站网址,来执行恶意程式或进行网钓攻击,估计已影响近1,300个无线网路,且绝大多数位于中国。
根据研究,Switcher的作者打造了十多个基于该木马的Android程式,其中有一个尝试假冒为中国搜寻龙头“百度”,还有一个则是可协助使用者分享公共区域Wi-Fi热点密码的行动程式,后者为中国市场颇为热门的行动程式类别。
一旦相关恶意程式感染了连至Wi-Fi网路的装置,它即会向远端的命令及控制(Command and Control,CnC)伺服器通报,之后便针对所连结的Wi-Fi基地台进行暴力破解,测试不同的管理凭证以进入设定介面,成功之后即会把路由器上的DNS伺服器换成自家的。
自此以后,只要连上该路由器的使用者就会透过骇客所设置的恶意DNS伺服器来连网,而会被导至假冒的网站。DNS伺服器是用来把使用者所输入的网域名称转换成网站真正的IP位址以进行连结,例如google.com的IP位址为87.245.200.153,但恶意DNS伺服器则会将其引导至其他IP位址。
该实验室估计,在4个月内已有1280个无线网路遭到Switcher木马渗透,大部份位于中国。
研究人员建议业者或使用者应设置复杂的路由器密码,避免安装可疑的Android程式,以及*好在装置上安装防毒程式等。*新的Kaspersky Antivirus & Security for Android已可侦测Switcher并供免费下载。