{"id":7100,"date":"2017-02-04T01:07:07","date_gmt":"2017-02-03T22:07:07","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=7100"},"modified":"2017-09-21T11:48:18","modified_gmt":"2017-09-21T14:48:18","slug":"switcher-trojan-attacks-routers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/switcher-trojan-attacks-routers\/7100\/","title":{"rendered":"V\u00edrus hackeia roteadores WiFi e altera o DNS\u00a0"},"content":{"rendered":"

Um dos conselhos mais importantes em ciberseguran\u00e7a \u00e9 que voc\u00ea nunca deve colocar senhas, logins, informa\u00e7\u00f5es de cart\u00e3o de cr\u00e9dito, entre outros, se a URL da p\u00e1gina estiver um pouco estranha. Links estranhos tendem a ser sinal de perigo. Se voc\u00ea ver algo como fasebook no lugar de facebook, fique ligado.
\n\"\"Mas e se a p\u00e1gina falsa da web estiver hospedada em uma p\u00e1gina leg\u00edtima? <\/em>Esse cen\u00e1rio \u00e9 bem plaus\u00edvel \u2013 e os caras malvados nem precisam hackear o servidor que hospeda a p\u00e1gina alvo. Vamos examinar como isso funciona.<\/p>\n

Intercepta\u00e7\u00e3o e altera\u00e7\u00e3o de solicita\u00e7\u00f5es de DNS<\/strong><\/h3>\n

O truque aqui est\u00e1 na forma em que os endere\u00e7os de p\u00e1ginas da web s\u00e3o como extens\u00f5es dos endere\u00e7os de IP com os quais a Internet funciona. Essa extens\u00e3o chama DNS \u2013 Domain Name System. Toda vez que \u00e9 digitado o endere\u00e7o de um site na barra de endere\u00e7o, seu computador envia uma solicita\u00e7\u00e3o para um servidor DNS, que retorna o endere\u00e7o do dom\u00ednio solicitado.<\/p>\n

Por exemplo, quando voc\u00ea digita google.com, <\/em>o servidor de DNS respectivo retorna o endere\u00e7o de IP 87.245.200.153 \u2013 o local para qual voc\u00ea est\u00e1 sendo efetivamente direcionado. Basicamente, \u00e9 isso que ocorre:
\nA quest\u00e3o \u00e9: cibercriminosos podem criar seu pr\u00f3prio servidor DNS que redireciona sua navega\u00e7\u00e3o para outro endere\u00e7o de IP (digamos, 6.6.6.6) em resposta ao seu \u201cgoogle.com\u201d, e esse <\/em>endere\u00e7o pode hospedado um site malicioso. Esse processo \u00e9 o que chamamos de sequestro\u00a0de DNS<\/em>.
\nAgora, o sucesso dessa atividade depende de um m\u00e9todo que faz com que as pessoas usem um servidor de DNS malicioso, que as direciona para um site falso, no lugar de um leg\u00edtimo. Abaixo temos a forma que os criadores do Trojan Switcher encontraram para resolver esse problema.<\/p>\n

Como o Switcher funciona<\/strong><\/h3>\n

Os desenvolvedores do Switcher criaram alguns aplicativos Android. Um deles o Baidu (aplicativo de buscas chin\u00eas, an\u00e1logo ao Google) e outro se passa por um aplicativo de busca de senhas para WiFi p\u00fablico, que auxilia usu\u00e1rios a compartilhar senhas de pontos de acessos p\u00fablicos; esse tipo de servi\u00e7o \u00e9 muito popular na China.<\/p>\n

Uma vez que o aplicativo malicioso se infiltra no smartphone alvo e se conecta \u00e0 rede WiFi, comunica-se com um servidor de comando e controle (C&C) e reporta que o Trojan foi ativado em uma rede em particular. Tamb\u00e9m fornece o ID da rede.<\/p>\n

E a\u00ed que o Switcher come\u00e7a a hackear o roteador. Testa v\u00e1rias credenciais de administrador para tentar entrar nas configura\u00e7\u00f5es da interface. Julgando pela forma que essa parte do Trojan funciona, o m\u00e9todo \u00e9 funcional apenas para\u00a0roteadores TP-Link.<\/p>\n

Se o Trojan conseguir identificar as credenciais corretas, altera as configura\u00e7\u00f5es do servidor DNS leg\u00edtimo para um malicioso. Al\u00e9m disso, o malware configura um DNS do Google leg\u00edtimo tendo como DNS secund\u00e1rio 8.8.8.8., de modo que a v\u00edtima n\u00e3o note caso o servidor malicioso fique fora do ar.
\n<\/p>\n

Na maioria das redes sem fio, dispositivos obt\u00e9m suas configura\u00e7\u00f5es de rede (incluindo endere\u00e7os de servidor DNS) de roteadores, de modo que todos os usu\u00e1rios que se conectam a uma rede comprometida ir\u00e3o usar o servidor DNS malicioso por defini\u00e7\u00e3o.<\/p>\n

O Trojan reporta o sucesso para o servidor de C&C. Nossos especialistas, que encontraram o malware, tiveram sorte e descobriram dados sobre ataques bem-sucedidos, deixados para tr\u00e1s na parte p\u00fablica do site.<\/p>\n

Se os n\u00fameros do Switcher forem precisos, em menos de um m\u00eas o malware conseguiu infectar 1.280 redes sem fio, com todo o tr\u00e1fego dos usu\u00e1rios desses pontos de acesso ao dispor dos bandidos.<\/p>\n

Como se proteger desses ataques<\/strong><\/h3>\n
    \n
  1. Utilize configura\u00e7\u00f5es adequadas ao seu roteado<\/a>r. Antes de mais nada, mude a senha padr\u00e3o para uma mais complexa<\/li>\n
  2. N\u00e3o instale aplicativos suspeitos em seu smartphone Android. Baixe apenas da loja oficial \u2013 mesmo que infelizmente, Trojans consigam se infiltrar<\/a> nelas, app stores oficiais ainda s\u00e3o bem mais confi\u00e1veis que as paralelas.<\/li>\n
  3. Use um antiv\u00edrus robusto em todos os seus dispositivos para maximizar sua prote\u00e7\u00e3o. Caso voc\u00ea ainda n\u00e3o fa\u00e7a isso, voc\u00ea pode instalar um agora mesmo: \u00e9 o link para a vers\u00e3o oficial do Kaspersky Antivirus & Security for Android<\/a>. Nossa solu\u00e7\u00e3o de seguran\u00e7a detecta esse malware como Trojan.AndroidOS.Switcher e mant\u00e9m sua rede WiFi a salvo.
    \n<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

    Malware Switcher \u00e9 capaz de mexer nas configura\u00e7\u00f5es da sua rede<\/p>\n","protected":false},"author":421,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[822,1086,92],"class_list":{"0":"post-7100","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-threats","7":"category-news","8":"tag-dns","9":"tag-switcher","10":"tag-trojan"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/switcher-trojan-attacks-routers\/7100\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/5811\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/10628\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/8754\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/switcher-trojan-attacks-routers\/9808\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/switcher-trojan-attacks-routers\/9544\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/switcher-trojan-attacks-routers\/13872\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/switcher-trojan-attacks-routers\/13771\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/switcher-trojan-attacks-routers\/6477\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/switcher-trojan-attacks-routers\/5884\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/switcher-trojan-attacks-routers\/9440\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/switcher-trojan-attacks-routers\/13538\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/switcher-trojan-attacks-routers\/13872\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/switcher-trojan-attacks-routers\/13771\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/switcher-trojan-attacks-routers\/13771\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/trojan\/","name":"Trojan"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/7100","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=7100"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/7100\/revisions"}],"predecessor-version":[{"id":9663,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/7100\/revisions\/9663"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=7100"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=7100"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=7100"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}