Switcher: Trojan บน Android ตัวใหม่ มุ่งโจมตี Wi-Fi Router เป็นหลัก

นักวิจัยจาก Kaspersky Lab ได้ออกมาเปิดเผยถึง Android Trojan แบบใหม่ที่มุ่งเน้นการโจมตี Wi-Fi Router ที่ทำการเชื่อมต่ออยู่ และทำ DNS Hijacking เพื่อส่งผู้ใช้งานที่เชื่อมต่อ Wi-Fi Router เหล่านั้นไปยังเว็บไซต์ต้องสงสัยแทน และตั้งชื่อให้กับ Trojan ตัวนี้ว่า Switcher Trojan โดยคาดว่าจะทำการโจมตี TP-Link WiFi Router เป็นหลัก

Credit: ShutterStock.com

ปัจจุบันมีการตรวจพบ Switcher Trojan นี้แล้วด้วยกัน 2 รุ่น ซึ่งการโจมตีนี้เริ่มแพร่กระจายไปแล้วยังระบบเครือข่ายไร้สายกว่า 1,280 แห่งที่ส่วนมากนั้นตรวจพบว่าอยู่ในประเทศจีน โดย Switcher รุ่นแรกนั้นจะทำการปลอมตัวเป็น Mobile Client สำหรับ Baidu ระบบ Search Engine จากจีน ในขณะที่อีกรุ่นนั้นจะปลอมตัวเป็นแอปสำหรับค้นหาตำแหน่งของ Wi-Fi และแบ่งปันวิธีการ Login ของ Wi-Fi นั้น ซึ่งการแพร่กระจายนั้นจะเกิดได้ก็ต่อเมื่อผู้ใช้งานทำการโหลดแอปเหล่านี้ไปติดตั้งด้วยตัวเอง

หลังจากที่เหยื่อทำการติดตั้งแอป Trojan เหล่านี้แล้ว การโจมตีก็จะเริ่มขึ้นด้วยการทำ Brute-force เพื่อเดารหัสผ่านของหน้า Admin Web Interface บน Router ที่ผู้ใช้งานเชื่อมต่ออยู่ และหากสำเร็จก็จะทำการเปลี่ยนแปลงการตั้งค่าของ DNS Server บน Router นั้นๆ รวมถึงตั้ง Second DNS เผื่อ Server หลักของผู้โจมตีล่มด้วย

ด้วยวิธีการเหล่านี้ ผู้ใช้งานที่เชื่อมต่อกับ Router เหล่านี้ก็จะถูกส่งไปยัง Web Site ต่างๆ, ถูกโจมตีด้วยการทำ Phishing, การแพร่กระจาย Malware, การใช้ Adware รวมถึงการโจมตีในลักษณะอื่นๆ ต่อเนื่องได้อีกหลากหลาย

อย่างไรก็ดี ผู้พัฒนา Trojan ตัวนี้ยังไม่เชี่ยวชาญด้านการพัฒนาระบบ Command & Control มากนัก ทำให้ทีมนักวิจัยสามารถเข้าถึงสถิติการแพร่กระจายของ Trojan ตัวนี้ได้สำเร็จผ่านช่องทางแบบ Public และพบว่ามีการโจมตีที่ประสบความสำเร็จไปแล้วกว่า 1,280 ครั้งในสัปดาห์ที่ผ่านมา และจากการตจรวจสอบนั้นก็พบว่า Trojan ตระกูลนี้น่าจะโจมตี Web Interface ของ TP-Link Wi-Fi Router เป็นหลัก

ผู้ใช้งาน Router ทั้งหมดควรทำการตรวจสอบการตั้งค่า DNS Server ทันทีว่ามีค่าแปลกปลอมหรือไม่ โดยสำหรับกรณี Switcher Trojan นี้ จะมีการตั้งค่า DNS Server ไปเป็น 101.200.147.153, 112.33.13.11 และ 120.76.249.59

ที่มา: https://threatpost.com/android-trojan-switcher-infects-routers-via-dns-hijacking/122779/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS …