Black Hat Asia 2021

พบมัลแวร์บน Android พุ่งโจมตี Router DNS จากสมาร์ทโฟน

Nikita Buchka ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบนอุปกรณ์พกพาจาก Kaspersky Labs ออกมาเปิดเผยถึงมัลแวร์บนระบบปฏิบัติการ Android ตัวใหม่ ซึ่งแทนที่จะโจมตีอุปกรณ์โดยตรง กลับพุ่งเป้าเข้าโจมตี Wi-Fi Router ที่อุปกรณ์เชื่อมต่ออยู่ จากนั้นทำการแก้ DNS แล้วเปลี่ยนเส้นทางทราฟฟิคไปยังเว็บไซต์อันตรายของตนแทน

มัลแวร์ดังกล่าวถูกตั้งชื่อว่า “Switcher” แพร่กระจายตัวโดยการปลอมเป็นแอพพลิเคชันสำหรับค้นหา Baidu และแอพพลิเคชันสำหรับแชร์รายละเอียด Public และ Private Wi-Fi ของจีน เมื่อเหยื่อเผลอติดตั้งแอพพลิเคชันเหล่านี้ มัลแวร์​ Switcher ขะพยายามล็อกอินเข้า Wi-Fi Router ที่อุปกรณ์กำลังเชื่อมต่ออยู่ผ่านทางการโจมตีแบบ Brute Force โดยใช้ชุดรายชื่อ Username/Password ในฐานข้อมูลของตน

“โดยความช่วยเหลือของ JavaScript [Switcher] พยายามล็อกอินโดยใช้ Username และ Password ที่แตกต่างกัน … จากการตรวจสอบชื่อฟิลด์ที่ถูก Hasrdcord อยู่ในมัลแวร์และโครงสร้างของ HTML Document ที่โทรจันพยายามเข้าถึง โค้ด JavaScript ที่ใช้นี้สามารถทำงานบน Interface ของ TP-Link Wi-Fi Router ได้เท่านั้น” — Buchka อธิบาย

หลังจากที่ยึด Web Interface ได้แล้ว โทรจัน Switcher จะเปลี่ยนค่า Primary และ Secondary DNS ของ Router ไปเป็น DNS ปลอมที่ควบคุมโดยแฮ็คเกอร์ ได้แก่ 101.200.147.153, 112.33.13.11 และ 120.76.249.59 ส่งผลให้เมื่ออุปกรณ์ที่เชื่อมต่อกับ Router ดังกล่าวต้องการ Resolve DNS Name หมายเลข IP ที่ได้จะกลายเป็น IP ของเว็บไซต์อันตรายของแฮ็คเกอร์ แทนที่จะเป็น IP ของเว็บไซต์ที่ต้องการเข้าถึงจริงๆ

Kaspersky Lab พยายามเข้าถึง C&C Server ของแฮ็คเกอร์ พบว่ามัลแวร์​ Switcher แฮ็ค Router ไปแล้วกว่า 1,300 เครื่อง ซึ่งส่วนใหญ่เป็น Router ของประเทศจีน

ที่มา: http://thehackernews.com/2016/12/android-dns-malware.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุป Red Hat Webinar: พัฒนา Microservice Application ที่มีความปลอดภัยโดยใช้ OpenID ด้วย Keycloak

ประเด็นด้านความมั่นคงปลอดภัยนั้นถือเป็นอีกหนึ่งสิ่งที่นักพัฒนา Software ต้องให้ความสำคัญ Red Hat จึงได้จัด Webinar ในหัวข้อ พัฒนา Microservice Application ที่มีความปลอดภัยโดยใช้ OpenID ด้วย Keycloak …

[Guest Post] ครั้งแรกในไทย ซัมซุงเปิดตัว “Galaxy Enterprise Edition” ส่งเทคโนโลยีดีไวซ์และโซลูชันครบวงจร ตอบโจทย์องค์กรในยุคดิจิทัล

เปิดตัวพร้อมให้บริการในไทยแล้ววันนี้ สำหรับ Galaxy Enterprise Edition (กาแลคซี่ เอ็นเตอร์ไพร์ส เอดิชัน) กลุ่มผลิตภัณฑ์สมาร์ทดีไวซ์ล่าสุดจากซัมซุงที่มาพร้อมบริการด้านโซลูชันแบบครบวงจรสำหรับลูกค้าภาคธุรกิจ ชูจุดเด่น ‘Total Solutions’ ด้วยนวัตกรรมระดับแนวหน้าที่ครอบคลุมตั้งแต่อุปกรณ์ฮาร์ดแวร์ การจัดการซอฟต์แวร์ ไปจนถึงแพลตฟอร์มรักษาความปลอดภัยระดับสูงสุด …