Il consiglio di cybersicurezza più importante che vi possiamo dare è il seguente: mai inserire login, password, informazioni di carte di credito e così via se l’URL è sospetta. I link strani sono molto spesso sinonimo di pericolo. Se vedete per esempio, fasebook.com al posto di facebook.com, quello è un link strano e sospetto.
E che succederebbe se la pagina web falsa fosse allocata sulla pagina legittima? Di fatto si tratta di una possibilità del tutto plausibile, e gli hacker non avrebbero nemmeno bisogno di hackerare il server che ospita la pagina cercata dalla vittima. Scopriamo insieme come funziona.
Hijacking e il reindirizzamento della richieste DNS
L’inganno sta nel ‘truccare’ i normali indirizzi web, che finiscono per essere un add-on del vero indirizzo IP di cui Internet si serve. Questo add-on viene chiamato DNS (Domain Name System) in italiano sistema dei nomi di dominio. Ogni volta che inserite un indirizzo web nella barra del browser, il vostro computer invia una richiesta al server DNS designato che, in risposta, rinvia a sua volta l’indirizzo del dominio di cui si aveva bisogno.
Per esempio, quando inserite google.com, il rispettivo server DNS risponde con l’indirizzo IP 87.245.200.153, che è per l’appunto l’indirizzo a cui si verrà reindirizzati. In poche parole, ecco quello che succede.
The thing is, malefactors can create their own DNS server that returns another IP address (say, 6.6.6.6) in response to your “google.com” request, and that address might host a malicious website. This method is called DNS hijacking.
Il fatto è che i ladri possono creare il proprio server DNS capace di ridirezionare verso un altro indirizzo IP (per esempio, 6.6.6.6) in risposta alla vostra richiesta di raggiungere il sito google.com; e quell’indirizzo può allocare un sito web dannoso. Questo metodo di attacco è chiamato DNS hijacking (in italiano, a volte chiamato anche reindirizzamento DNS).
Ora quello che bisognava trovare era un metodo che spingesse la vittima ad usare un server DNS dannoso che lo avrebbe reindirizzato verso un sito web falso, piuttosto che verso quello legittimo. Ecco come i creatori di Switcher Trojan hanno risolto questo problema.
Come funziona Switcher
Gli sviluppatori di Switcher hanno creato un paio di app per Android, una delle quali imita Baidu (un’app per web search, analogo a Google) e un’altra che si spaccia per un’app per la ricerca di password per Wi-Fi pubblico, che aiuta gli utenti a condividere le password per hotspot gratuiti. Questo genere di servizi sono piuttosto popolari in Cina.
Una volta che un’app dannosa si infiltra nello smartphone della vittima connesso ad una rete Wi-Fi, inizia a comunicare con il server C&C (command-and-control) e avvisa che il Trojan è stato attivato in una particolare network. Inoltre fornisce un network ID.
Poi Switcher inizia a hackerare il router Wi-Fi. Testa diverse credenziali admin per entrare nell’interfaccia delle impostazioni. A giudicare dal modo in cui lavora il Trojan, ora il metodo funziona solo con i router TP-link.
Se il Trojan riesce a identificare le credenziali giuste, entra nella pagina delle impostazioni del router e cambia l’indirizzo del server DNS predeterminato e legittimo con quello dannoso. Inoltre, il malware imposta un server Google DNS legittimo sull’indirizzo 8.8.8.8 come DNS secondario. In questo modo se il server DNS dannoso smettesse di funzionare temporaneamente, la vittima non se ne accorgerebbe.
Sulla maggior parte delle reti wireless, i dispositivi ottengono le impostazioni di rete (tra cui anche l’indirizzo del server DNS) dai router, quindi tutti gli utenti che si connettono ad una rete compromessa useranno il server DNS dannoso predeterminato.
Il Trojan poi informa il server C&C del suo operato e dei suoi successi. È anche grazie a queste informazioni che i nostri esperti sono riusciti a scoprire il Trojan: hanno trovato le statistiche degli attacchi di successo nella parte pubblica del sito web, lasciate lì con noncuranza, ed accessibili a tutti.
Se i numeri di Switcher sono giusti, in meno di 4 mesi, il malware è riuscito a infettare 1.280 reti wireless, e tutto il traffico utente proveniente da quegli hotspot era a disposizione dei criminali.
Come proteggersi contro questi attacchi
1. Configurate correttamente il router. Prima di tutto, cambiare la password predeterminata con una più sofisticata.
2. Non installate app sospette sui vostri smartphone Android. Scaricate solo app dallo store ufficiale: a volte i Trojan riescono comunque ad infiltrarsi, ciò nonostante le app ufficiali sono sempre molto più affidabili di quelle non ufficiali.
3. Per una protezione massima, usate un antivirus robusto su tutti i vostri dispositivi. Se ancora non ne avete uno, potete installarne uno proprio ora: qui trovate il link alla versione gratuita di Kaspersky Antivirus & Security for Android. La nostra soluzione di sicurezza individua il malware di cui abbiamo parlato oggi, Trojan.AndroidOS.Switcher, e protegge la vostra rete Wi-Fi.