พบมัลแวร์บน Android พุ่งโจมตี Router DNS จากสมาร์ทโฟน

Nikita Buchka ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบนอุปกรณ์พกพาจาก Kaspersky Labs ออกมาเปิดเผยถึงมัลแวร์บนระบบปฏิบัติการ Android ตัวใหม่ ซึ่งแทนที่จะโจมตีอุปกรณ์โดยตรง กลับพุ่งเป้าเข้าโจมตี Wi-Fi Router ที่อุปกรณ์เชื่อมต่ออยู่ จากนั้นทำการแก้ DNS แล้วเปลี่ยนเส้นทางทราฟฟิคไปยังเว็บไซต์อันตรายของตนแทน

มัลแวร์ดังกล่าวถูกตั้งชื่อว่า “Switcher” แพร่กระจายตัวโดยการปลอมเป็นแอพพลิเคชันสำหรับค้นหา Baidu และแอพพลิเคชันสำหรับแชร์รายละเอียด Public และ Private Wi-Fi ของจีน เมื่อเหยื่อเผลอติดตั้งแอพพลิเคชันเหล่านี้ มัลแวร์​ Switcher ขะพยายามล็อกอินเข้า Wi-Fi Router ที่อุปกรณ์กำลังเชื่อมต่ออยู่ผ่านทางการโจมตีแบบ Brute Force โดยใช้ชุดรายชื่อ Username/Password ในฐานข้อมูลของตน

“โดยความช่วยเหลือของ JavaScript [Switcher] พยายามล็อกอินโดยใช้ Username และ Password ที่แตกต่างกัน … จากการตรวจสอบชื่อฟิลด์ที่ถูก Hasrdcord อยู่ในมัลแวร์และโครงสร้างของ HTML Document ที่โทรจันพยายามเข้าถึง โค้ด JavaScript ที่ใช้นี้สามารถทำงานบน Interface ของ TP-Link Wi-Fi Router ได้เท่านั้น” — Buchka อธิบาย

หลังจากที่ยึด Web Interface ได้แล้ว โทรจัน Switcher จะเปลี่ยนค่า Primary และ Secondary DNS ของ Router ไปเป็น DNS ปลอมที่ควบคุมโดยแฮ็คเกอร์ ได้แก่ 101.200.147.153, 112.33.13.11 และ 120.76.249.59 ส่งผลให้เมื่ออุปกรณ์ที่เชื่อมต่อกับ Router ดังกล่าวต้องการ Resolve DNS Name หมายเลข IP ที่ได้จะกลายเป็น IP ของเว็บไซต์อันตรายของแฮ็คเกอร์ แทนที่จะเป็น IP ของเว็บไซต์ที่ต้องการเข้าถึงจริงๆ

Kaspersky Lab พยายามเข้าถึง C&C Server ของแฮ็คเกอร์ พบว่ามัลแวร์​ Switcher แฮ็ค Router ไปแล้วกว่า 1,300 เครื่อง ซึ่งส่วนใหญ่เป็น Router ของประเทศจีน

ที่มา: http://thehackernews.com/2016/12/android-dns-malware.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Ericsson ประสบความสำเร็จ ทดสอบ 5G ที่ความเร็ว 23.4Gbps

Ericsson ได้ออกมาประกาศถึงความสำเร็จในการทดสอบความเร็วของเทคโนโลยี 5G ร่วมกับ Telecom Italia (TIM) ได้ความเร็วในการ Download ที่สูงถึง 23.4Gbps

เปิดตัว Splunk AWS Serverless Apps วิเคราะห์ข้อมูลบน Cloud ได้ด้วย Serverless

ในงาน AWS re:Invent 2017 ที่ผ่านมา ทาง AWS ได้ออกมาประกาศเปิดตัว AWS Serverless Application Repository เพื่อให้ลูกค้าของ AWS สามารถใช้งาน …