国内出现新的Android木马 专门篡改路由的DNS服务器
卡巴斯基本周披露了在中国发现的新的Android木马病毒,该木马主要用来通过设备WiFi侵入上级路由器。
这个被命名为Switcher的木马病毒在激活后会尝试使用不同的密码组合来登录到设备连接的上级路由器。
如果成功登录到路由器则开始篡改路由器的DNS服务器设置,再通过DNS服务器将用户引导到恶意网站上。
该病毒主要藏匿在合法的和山寨的Android应用中,例如某下载网站提供的百度Android客户端就含有病毒。
另外卡巴斯基的监测发现中国某个流行的WiFi密码共享工具也含有该病毒,卡巴斯基并未透露应用的名称。
Switcher病毒作者现在已经制作了十几个基于该木马的Android应用程序并在中国的下载网站进行传播。
当Switcher病毒进入Android设备后就会立即与远程控制服务器进行联系,将设备信息与路由信息进行上报。
远程控制服务器会针对路由器的型号返回对应的策略,比如该型号路由器的默认管理账号与密码、漏洞等。
如果病毒成功的侵入到路由器那么就开始修改路由器上的DNS服务器地址为病毒作者自己搭建的DNS服务器。
接下来就是开始利用恶意DNS服务器来进行作恶了,例如你在访问百度时把你的请求中转下跳转到作者的推广链接上。
在你访问正常网站时把你引导到钓鱼网站上诱导你输入账号与密码,或者下载应用时返回推广的应用等等。
这种入侵方式相对来说比较隐秘,绝大多数情况下用户在毫无知觉的情况下被入侵、被钓鱼,难以发现问题。
卡巴斯基的安全研究人员在该病毒中发现了远程控制服务器的地址,该服务器显示木马病毒已经入侵了1300多个WiFi网络。
另外如果病毒入侵的是公共的WiFi路由器,那么造成的危害将会比家庭路由器大得多,毕竟用户数量比较多。
卡巴斯基发现目前该病毒只会入侵TP-Link品牌的路由器,其套路和日前针对物联网设备的病毒Marai差不多,都是尝试使用公开的默认密码组进行爆破。
此前蓝点网曾发文提醒过各位使用华硕和PandoraBox固件的用户修改默认密码,再此也提醒其他品牌与固件的路由用户立刻修改默认密码。
当然除了修改掉默认密码外如果路由固件本身支持Telnet或者SSH等,记得把这些功能给关闭掉,使用再开。
最后还是要再次提醒各位Android用户不要随便去乱七八糟的网站下载应用,也要仔细分辨各种打着破解和外挂的Android应用程序,搞不好里面就是一个病毒包。
如何排查自己的路由器是否被篡改DNS:
简单的判断方法就是登录路由器检查DNS服务器的设置,绝大多数情况下默认的设置是自动从运营商获取。
如果你的DNS服务器设置已经被修改为固定的IP地址,如果不是你自己设置的那么你就需要关注该问题了。
国内主流的DNS服务器地址包括:(具体请点击这里)
你可以将自己的DNS服务器设置为上述列表中的DNS服务器,至少可以保证这些DNS服务器算是安全的。
另外你也可以使用:Windows平台本地DNS自动检测与设置工具,该工具可以检测当前网络中速度最快的DNS服务器。
但该工具只能将获取到的DNS服务器设置为Windows本地服务器,你可以手动复制下设置到路由器里。