频道栏目
首页 > 安全 > 网络安全 > 正文

新型Android恶意软件:通过智能手机劫持路由器的DNS

2016-12-30 09:34:59           
收藏   我要投稿

本文讲述的是新型Android恶意软件:通过智能手机劫持路由器的DNS,旨在服务社会,供安全研究人员学习使用,请勿用于其他非法用途,违者后果自负。

我们怀着永无止境的追求,去保护世界免受恶意软件威胁。近日,我们发现了一个行为不端的Android木马。尽管恶意软件针对Android操作系统,早已不是一个新鲜事了,但是我们发现的这个木马相当的独特。因为它并不攻击用户,它的攻击目标是用户连接的Wi-Fi网络,或者,确切地说,攻击目标是为网络服务的无线路由器。这个木马名字是“Trojan.AndroidOS.Switcher”,该木马会针对路由器的Web管理页面,进行密码暴力破解攻击。如果攻击成功,该恶意软件会在路由器设置中更改DNS服务器的地址。从而将用户的所有DNS查询,从被攻击的Wi-Fi网络重定向到攻击者那里(这样的攻击也被称为DNS劫持)。因此,下面我们详细解释一下Switcher如何进行密码暴力破解攻击,并进入路由器,进行DNS劫持。

聪明的小骗子

迄今为止,我们已经看到了这个木马的两个版本:

\

该木马的第一个版本(com.baidu.com),将自己伪装成了百度搜索引擎的一个手机客户端,在这个应用程序里简单的打开了一个百度的URL(http://m.baidu.com)。该木马的第二个版本伪装成Wi-Fi万能钥匙应用程序,这是一个非常受欢迎的软件,使用这个软件通常都是在有Wi-Fi的情况下,因此,对于针对路由器的恶意软件,这是一个绝佳的隐藏地方,非常方便恶意软件传播。

\

攻击者甚至还专门制作了一个软件介绍网站,用于传播这个假冒的“Wi-Fi万能钥匙”。这个网站所在的服务器,同时也被作为恶意软件的命令和控制(C&C)服务器。

\

感染过程

该Android木马运行后会执行以下操作:

1. 获取网络的BSSID,并且通知C&C服务器,木马在该网络中已经被激活。

2. 试图获得ISP(互联网服务提供商)的名称,根据结果,确定恶意DNS服务器用于DNS劫持。有三个可能的DNS服务器,分别是:101.200.147.153,112.33.13.11和120.76.249.59。101.200.147.153是默认选择,其他的DNS只有在特殊ISPs下才会用。

3. 使用下面预定义好的登录名和密码字典,展开密码暴力攻击:

\

木马会获取默认网关地址,在JavaScript 脚本的帮助下,它会用各种帐号和密码的组合进行尝试登录。然后根据返回的输入字段的固定字符串,和HTML文档来判断是否成功。这个JavaScript脚本只在TP-LINK WI-FI路由器上有效。

上一篇:软件安全——反补丁技术
下一篇:史上最大型广告欺诈活动Methbot:黑客是如何每天赚到500万美元的
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站