Yeni Android Zararlısı “Switcher”

Yeni Android Zararlısı “Switcher”
Aralık 29 16:30 2016 Yazıyı Yazdır

Android kullanıcıları için korkutucu bir malware daha! Güvenlik araştırmacıları cihazlarınızı hedefleyen yeni bir Android malware ortaya çıkardı, ancak bu sefer doğrudan cihaza saldırmak yerine kötü amaçlı yazılım, cihazınızın bağlı olduğu WiFi yönlendiricisini (router, modem) kontrol altına alıyor ve ardından web trafiğini ele geçiriyor.

Kaspersky Lab’daki araştırmacılar tarafından keşfedilen yeni Android malware olan “Switcher“, kablosuz yönlendiricileri kesiyor ve trafiği kötü niyetli web sitelerine yönlendirmek için DNS ayarlarını değiştiriyor.

Proofpoint araştırmacıları, bir hafta kadar önce benzer bir saldırı ile PC’leri hedefleyen bir malware keşfetti ancak hedef makinelere bulaştırmak yerine, Stegano exploit kiti, virüslü aygıtın bağlı olduğu yerel WiFi yönlendiricilerini kontrol ediyor

Switcher, Yönlendiricilere Brute-Force saldırısı gerçekleştirmekte

Hackerlar şu anda Switcher trojanını Çin arama motoru Baidu, Android uygulaması ve kamuya açık ve özel Wi-Fi ağ bilgilerinin paylaşıldığı bir Çin uygulaması ile dağıtıyor (com.snda.wifilocating).

Kurban, bu kötü amaçlı uygulamalardan birini yüklediğinde, Switcher zararlı yazılımı kurbanın Android cihazının bağlı olduğu WiFi yönlendiricisine, yönlendiricinin yönetici web arayüzünde daha önceden tanımlanmış bir sözlük (liste) grubu ile kaba kuvvet saldırısı (kullanıcı adı ve parola) gerçekleştirerek giriş yapmaya çalışıyor.

Kaspersky Lab’ın mobil güvenlik uzmanı Nikita Buchka, bugün yayınlanan bir blog yazısında “JavaScript yardımıyla (Switcher) farklı giriş ve parolalar kombinasyonlarını kullanarak giriş yapmak istiyor” dedi ve ekledi “Giriş kodlarının sabit kodlu isimleriyle ve truva atının erişmeye çalıştığı HTML belgelerinin yapılarıyla bakıldığında, kullanılan JavaScript kodu yalnızca TP-LINK Wi-Fi yönlendiricilerinin web arayüzlerinde çalışıyor”.

Router-dns-android-malware

Bir kez erişilen web yönetim arabirimine geçen Switcher, yönlendiricinin birincil ve ikincil DNS sunucularını, saldırganların kontrol ettiği kötü amaçlı DNS sunucularına yönlendiren IP adresleriyle değiştirir.

Araştırmacılar, Switcher’ın birincil DNS kaydı olarak “101.200.147.153”,  “112.33.13.11” ve “120.76.249.59”  olmak üzere üç farklı IP adresi kullandıklarını, bunlardan birinin Tercih Edilen DNS Sunucusu olarak ayarlandığını, diğerinin ise Diğer DNS Sunucusu olarak ayarlandığını söyledi.

Cihaz, DNS ayarlarındaki değişiklikler nedeniyle, tüm trafik, kurbanın erişmeye çalıştığı meşru site yerine, saldırganların kendi sunucularında barındırılan kötü amaçlı web sitelerine yönlendirilir.

Trojan, tüm kullanıcıları, ister birey, isterse işletme olsun, geniş bir yelpazede, saldırılara yani kimlik avına yönelik saldırılara maruz bırakmayı hedeflemektedir.

Araştırmacılar saldırganın komuta ve kontrol sunucularına erişebildi ve Switcher’ın özellikle Çin’de 1.300 yönlendiricide bulunduğunu ve bu ağlardaki trafiği ele geçirdiğini tespit etti.

 

Yazan: Hakan E Deniz

daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

1 Yorum

  1. himmet
    Aralık 29, 16:46 #1 himmet

    Merhaba
    Artık Neredeyse tüm tarayıcılarda check ediyor bu durumu Sadece DNS Yönlendirmesi yapılarak sizi kötü amaçlı sitelere yönlendiremiyorlar
    örneğin modeminiz ele geçirildi girilen dns server google.com dendğinde rog bir 66.55.41.2 diye cevap verdi bu adrese web üzerinden yönlendiğiniz anda tarayınız gelen cevabın alan adını check ediyor eğer uymuyorsa siteye hiçbir türlü erştirmiyor güvenlik amaçlı
    burdaki olay benim bahsettiğim ile sınırlıysa bu calısmıyor testlerini yaptım

    Reply to this comment

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.