WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Mã độc mới trên Android hack Router DNS từ Smartphone
Các nhà nghiên cứu vừa phát hiện mã độc Android mới hướng mục tiêu tấn công đến các thiết bị. Nhưng thay vì tấn công trực tiếp thiết bị, mã độc này lại kiểm soát router Wifi mà thiết bị đó kết nối, sau đó chiếm đoạt điều khiển truy cập web. Được đặt tên “Switcher”, mã độc này có có thể hack các router Wifi và đổi thiết lập DNS để chuyển hướng tới các website độc.
Hơn 1 tuần trước, một vụ tấn công nhắm mục tiêu đến thiết bị PC cũng đã được phát hiện, tuy nhiên thay vì tấn công các máy tính mục tiêu, bộ khai thác này lại kiểm soát router Wife mà các máy này kết nối.
Mã độc thực hiện tấn công Brute-Force
Một khi mã độc này được cài đặt, Switcher sẽ tìm cách đăng nhập vào WiFi router trên thiết bị Android của nạn nhân và thực hiện tấn công brute-force (phương thức tấn công nhằm khai thác tài khoản admin).
Khi đã đăng nhập thành công vào giao diện quản trị web, Switcher sẽ thay thế các máy chủ chính và phụ của router với địa chỉ IP trỏ đến máy chủ DNS có mã độc được hacker kiểm soát.
Các nhà nghiên cứu cho biết Switcher đã sử dụng 3 địa chỉ IP khác nhau gồm – 101.200.147.153, 112.33.13.11 và 120.76.249.59. Một địa chỉ IP mặc định trong khi đó 2 địa chỉ còn lại là của nhà cung cấp dịch vụ Internet.
Do thay đổi thiết lập DNS của Router, tất cả các truy cập sẽ chuyển hướng về website độc của hacker thay vì các site chính thống mà nạn nhân đang cố gắng truy cập.
Các nhà nghiên cứu đã truy cập vào máy chủ C&C của hacker và thấy có tới 1.300 router bị kiểm soát, hầu hết các router này là của Trung Quốc.
Người dùng Android được khuyến cáo nên tải các ứng dụng từ kho chính thống của Google Play, không nên tải các ứng dụng từ kho của bên thứ ba. Người dùng có thể vào phần “Settings → Security” để đảm bảo tùy chọn "Unknown sources" đã được gỡ bỏ. Đồng thời cần đổi tài khoản và mật khẩu mặc định của router để tránh nguy cơ bị kẻ xấu xâm nhập để thực hiện tấn công brute-force.
Hơn 1 tuần trước, một vụ tấn công nhắm mục tiêu đến thiết bị PC cũng đã được phát hiện, tuy nhiên thay vì tấn công các máy tính mục tiêu, bộ khai thác này lại kiểm soát router Wife mà các máy này kết nối.
Mã độc thực hiện tấn công Brute-Force
Một khi mã độc này được cài đặt, Switcher sẽ tìm cách đăng nhập vào WiFi router trên thiết bị Android của nạn nhân và thực hiện tấn công brute-force (phương thức tấn công nhằm khai thác tài khoản admin).
Khi đã đăng nhập thành công vào giao diện quản trị web, Switcher sẽ thay thế các máy chủ chính và phụ của router với địa chỉ IP trỏ đến máy chủ DNS có mã độc được hacker kiểm soát.
Các nhà nghiên cứu cho biết Switcher đã sử dụng 3 địa chỉ IP khác nhau gồm – 101.200.147.153, 112.33.13.11 và 120.76.249.59. Một địa chỉ IP mặc định trong khi đó 2 địa chỉ còn lại là của nhà cung cấp dịch vụ Internet.
Do thay đổi thiết lập DNS của Router, tất cả các truy cập sẽ chuyển hướng về website độc của hacker thay vì các site chính thống mà nạn nhân đang cố gắng truy cập.
Các nhà nghiên cứu đã truy cập vào máy chủ C&C của hacker và thấy có tới 1.300 router bị kiểm soát, hầu hết các router này là của Trung Quốc.
Người dùng Android được khuyến cáo nên tải các ứng dụng từ kho chính thống của Google Play, không nên tải các ứng dụng từ kho của bên thứ ba. Người dùng có thể vào phần “Settings → Security” để đảm bảo tùy chọn "Unknown sources" đã được gỡ bỏ. Đồng thời cần đổi tài khoản và mật khẩu mặc định của router để tránh nguy cơ bị kẻ xấu xâm nhập để thực hiện tấn công brute-force.
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: