Android malware probeert routers te kapen
Nieuw ontdekte Android malware probeert actief routers van gebruikers te kapen door via een brute force-aanval met standaardinloggegevens te proberen in te loggen. Vervolgens past de malware de DNS-server aan, wat de mogelijkheid geeft dataverkeer van verbonden apparaten te manipuleren. De malware wordt ‘Switcher’ genoemd en zit verstopt in een tweetal Chineestalige Android apps.
Dit melden onderzoekers van Kaspersky Lab. De malware zit verstopt in een Android client voor de Chinese zoekmachine Baidu en een nagemaakte versie van een Chinese app voor het delen van informatie over WiFi-netwerken. Beide apps worden gepromoot op een website die is opgezet door de cybercriminelen.
Brute force-aanval
Aanvallers die een router willen kapen kiezen er doorgaans voor dit apparaat rechtstreeks aan te vallen. De makers van Switcher hebben echter voor een andere aanpak gekozen. Deze malware infecteert Android smartphones en tablets, waarna het via een brute force-aanval met behulp van standaard inloggegevens toegang probeert te krijgen tot de router waarmee het geïnfecteerde apparaat is verbonden.
Indien de malware weet door te dringen tot de router vervangt Switcher de DNS-server in de router automatisch voor een malafide variant. Daarnaast wordt een tweede DNS-server ingesteld die als een back-up server dient. Deze malafide DNS-servers geven de aanvallers de mogelijkheid het dataverkeer van apparaten die verbonden zijn met de besmette router om te leiden. Zo kunnen nietsvermoedende gebruikers die naar een legitieme URL proberen te surfen in werkelijkheid malafide websites voorgeschoteld krijgen met bijvoorbeeld malware, adware of andere malafide content.
DNS-instellingen controleren
Kaspersky Lab adviseert gebruikers hun DNS-instellingen te controleren en hierbij te zoeken naar de volgende drie DNS-servers:
- 101.200.147.153
- 112.33.13.11
- 120.76.249.59
Deze servers staan allen onder beheer van de aanvallers achter Switcher. Wie deze servers aantreft in zijn DNS-instellingen wordt geadviseerd contact op te nemen met hun Internet Service Provider of de eigenaar van het WiFi-netwerk. Daarnaast adviseert Kaspersky Lab altijd de standaard inloggegevens van de webinterface van routers te wijzigen. Deze maatregel voorkomt dat gebruikers doelwit worden van deze specifieke aanval.
Meer over
Lees ook
Hoeveelheid malafide Android-apps bijna verviervoudigd in twee jaar tijd
De hoeveelheid malafide apps in Google's Play Store neemt in een hoog tempo toe. Het aantal malafide apps voor het Android-platform in Google's eigen appwinkel is tussen 2011 en 2013 met maar liefst 388 procent gestegen. Dit blijkt uit onderzoek van Risk IQ. Risk IQ is een bedrijf dat de inhoud van appwinkels in de gaten houdt om namaakvarianten v1
Klanten van Rabobank en ING zijn doelwit van nieuwe bankingtrojan
Klanten van de Rabobank en ING zijn doelwit van een nieuwe versie van de bankingtrojan Zeus. De trojan wordt verspreidt in JPG-afbeeldingen die overal op internet zijn geüpload. Hiervoor waarschuwt Jerome Segura van Malwarebytes, die samen met de Franse onderzoeker Xylitol de nieuwe malware heeft onderzocht. De onderzoekers hebben ontdekt dat alle1
Hackers verstoppen malware in RTF-documenten
Hackers verstoppen steeds vaker hun malware in RTF-documenten. Hiervoor waarschuwt in ieder geval beveiligingsbedrijf Trend Micro. De RTF-documenten worden voorzien van een embedded Control Panel (CPL)-bestand, die de malware naar de computer van het slachtoffer download. CPL-bestanden zijn bedoeld om informatie over de configuratie van het systee1