TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยจาก Kaspersky Lab ได้ออกมาเปิดเผยถึง Android Trojan แบบใหม่ที่มุ่งเน้นการโจมตี Wi-Fi Router ที่ทำการเชื่อมต่ออยู่ และทำ DNS Hijacking เพื่อส่งผู้ใช้งานที่เชื่อมต่อ Wi-Fi Router เหล่านั้นไปยังเว็บไซต์ต้องสงสัยแทน และตั้งชื่อให้กับ Trojan ตัวนี้ว่า Switcher Trojan โดยคาดว่าจะทำการโจมตี TP-Link WiFi Router เป็นหลัก
ปัจจุบันมีการตรวจพบ Switcher Trojan นี้แล้วด้วยกัน 2 รุ่น ซึ่งการโจมตีนี้เริ่มแพร่กระจายไปแล้วยังระบบเครือข่ายไร้สายกว่า 1,280 แห่งที่ส่วนมากนั้นตรวจพบว่าอยู่ในประเทศจีน โดย Switcher รุ่นแรกนั้นจะทำการปลอมตัวเป็น Mobile Client สำหรับ Baidu ระบบ Search Engine จากจีน ในขณะที่อีกรุ่นนั้นจะปลอมตัวเป็นแอปสำหรับค้นหาตำแหน่งของ Wi-Fi และแบ่งปันวิธีการ Login ของ Wi-Fi นั้น ซึ่งการแพร่กระจายนั้นจะเกิดได้ก็ต่อเมื่อผู้ใช้งานทำการโหลดแอปเหล่านี้ไปติดตั้งด้วยตัวเอง
หลังจากที่เหยื่อทำการติดตั้งแอป Trojan เหล่านี้แล้ว การโจมตีก็จะเริ่มขึ้นด้วยการทำ Brute-force เพื่อเดารหัสผ่านของหน้า Admin Web Interface บน Router ที่ผู้ใช้งานเชื่อมต่ออยู่ และหากสำเร็จก็จะทำการเปลี่ยนแปลงการตั้งค่าของ DNS Server บน Router นั้นๆ รวมถึงตั้ง Second DNS เผื่อ Server หลักของผู้โจมตีล่มด้วย
ด้วยวิธีการเหล่านี้ ผู้ใช้งานที่เชื่อมต่อกับ Router เหล่านี้ก็จะถูกส่งไปยัง Web Site ต่างๆ, ถูกโจมตีด้วยการทำ Phishing, การแพร่กระจาย Malware, การใช้ Adware รวมถึงการโจมตีในลักษณะอื่นๆ ต่อเนื่องได้อีกหลากหลาย
อย่างไรก็ดี ผู้พัฒนา Trojan ตัวนี้ยังไม่เชี่ยวชาญด้านการพัฒนาระบบ Command & Control มากนัก ทำให้ทีมนักวิจัยสามารถเข้าถึงสถิติการแพร่กระจายของ Trojan ตัวนี้ได้สำเร็จผ่านช่องทางแบบ Public และพบว่ามีการโจมตีที่ประสบความสำเร็จไปแล้วกว่า 1,280 ครั้งในสัปดาห์ที่ผ่านมา และจากการตจรวจสอบนั้นก็พบว่า Trojan ตระกูลนี้น่าจะโจมตี Web Interface ของ TP-Link Wi-Fi Router เป็นหลัก
ผู้ใช้งาน Router ทั้งหมดควรทำการตรวจสอบการตั้งค่า DNS Server ทันทีว่ามีค่าแปลกปลอมหรือไม่ โดยสำหรับกรณี Switcher Trojan นี้ จะมีการตั้งค่า DNS Server ไปเป็น 101.200.147.153, 112.33.13.11 และ 120.76.249.59
ที่มา: https://threatpost.com/android-trojan-switcher-infects-routers-via-dns-hijacking/122779/
