Los expertos de han descubierto una evolución notable en el malware que ataca al sistema operativo Android: el troyano Switcher. Este troyano utiliza a los usuarios de dispositivos Android desprevenidos como herramientas para comprometer los ruteadores de las redes Wi-Fi, cambiar la configuración DNS de los mismos y redirigir el tráfico de todos los dispositivos conectados a la red hacia sitios web controlados por los atacantes; dejando así a los usuarios vulnerables a ataques de phishing, malware y adware. Los atacantes afirman haber infiltrado hasta ahora 1,280 ruteadores inalámbricos con éxito, principalmente en China.

Los servidores de nombres de dominio (DNS por sus siglas en inglés) convierten una dirección web legible como ‘x.com’ en la dirección numérica IP que se requiere para las comunicaciones entre computadoras. La habilidad del troyano Switcher para secuestrar este proceso, da a los atacantes un control casi completo sobre la actividad de la red que utiliza el sistema de resolución de nombres, como es el tráfico de Internet. El método de este ataque funciona porque los ruteadores inalámbricos generalmente manejan sus propios DNS para todos los dispositivos que se conectan a la red, de modo que, si los DNS son maliciosos, todos los usuarios conectados a la red se van a redirigir hacia los sitios Web maliciosos sin consentimiento alguno.

La infección es propagada por usuarios que descargan una de las dos versiones del troyano Android desde un sitio web creado por los atacantes. La primera versión viene disfrazada como un cliente Android del motor de búsqueda chino Baidu, y la otra es una versión falsa bien hecha de una popular aplicación china para compartir información sobre redes Wi-Fi.

Cuando un dispositivo infectado se conecta a una red inalámbrica, el troyano ataca el router y abre la interfaz de administración web intentando acertar la contraseña, basándose en una larga lista predefinida de combinaciones de contraseñas y de nombres de usuarios. Si el intento tiene éxito, el troyano suplanta la configuración de los servidores DNS existentes por una dirección maliciosa, controlada por los cibercriminales y también un DNS secundario legítimo, para garantizar que se mantenga la estabilidad en caso de que el DNS malicioso deje de funcionar.

TAGS RELACIONADOS