Switcher, le malware Android qui s’attaque aux réseaux Wifi


SECURITY word cloud collage, business concept backgroundActuellement en activité en Chine, switcher ne tardera pas prochainement à faire son apparition dans le reste du monde. En effet tout comme d’autres malwares qui ont vu le jour ces derniers temps, les hackers ne tentent plus directement d’aller pirater votre ordinateur pour vous soutirer des informations mais se servent d’applications tout à fait légal pour ce faire. C’est ainsi l’utilisateur lui-même qui sans le savoir se met en danger.

Car switcher s’attaque uniquement aux DNS des routeurs wifi auxquels se connectent uniquement les smartphones Android infectés. Découvert par les laboratoires Kapersky, l’agent malveillant s’attaque aux routeurs wifi pour en détourner le trafic web. Le petit monstre qui se balade remplace les adresses des serveurs DNS dans les paramètres du routeur par celles des serveurs des cybercriminels, ainsi il lui est très facile de détourner les requêtes des adresses alphanumériques vers des faux sites web afin, par exemple, de récupérer des identifiants et mots de passe de connexion à des services bancaires, administratifs, de messagerie, etc. Une technique de piratage dénommée DNS-hijacking.

Comment fonctionne t’il est comment l’arrêter ? À cette heure, il est impossible de l’arrêter et déjà au 28 décembre 2016, 1280 réseaux wifi étaient affectés. Certes pour l’instant, ces attaques ne sont observées qu’en Chine mais si le virus ne rencontre pas de problème ou il n’est pas arrêté avant, il s’étendra certainement au reste du monde d’ici peu.

L’attaque du routeur est réalisée par force brut qui est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s’agit de tester, une à une, toutes les combinaisons possibles, c’est assez classique mais redoutable. Une fois trouvé l’identifiant du point de connexion Wifi, le trojan informe un serveur de commande & contrôle qu’il est fonctionnel. Switcher tente ensuite d’obtenir le nom du fournisseur d’accès afin de déterminer quel serveur sera utilisé pour lancer l’attaque par DNS-hijacking. Toutefois si vous avez pris la peine de changer les identifiants de connexion par défauts de leurs routeurs, vous avez que très peu de chance d’être infecte par switcher. Si néanmoins le malware parvient à passer l’écran de connexion du routeur, il se rend dans les paramètres réseau de l’interface et change le DNS principal par celui pointant vers un serveur de résolution d’adresses infectieux.

Quant au modus operandi utilisé pour infecter un smartphone sous Android, il est tristement banal dans la mesure où c’est l’utilisateur lui-même qui l’installe. Switcher se cache en effet derrière de fausses applications qui circulent probablement sur les stores alternatifs à Android Play. Kapersky Lab. en dénombre deux à ce jour : com.baidu.com, une soi-disant version mobile du moteur de recherche chinois Baidu; et une version détournée de wifilocating, une application chinoise populaire pour partager des informations de connexion sur les réseaux Wifi d’accès publics.

 

 

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s

Propulsé par WordPress.com.

Retour en haut ↑

%d blogueurs aiment cette page :