"Vatanını en çok seven, görevini en iyi yapandır."


Hoş Geldin, Ziyaretçi!

Forum içeriğine ve tüm hizmetlerimize erişim sağlamak için foruma kayıt olmalı yada giriş yapmalısınız. Forum üye olmak tamamen ücretsizdir.

  • Yeni üyeler Neler Yapmalı, Nasıl Başlamalı? Detaylar için tıklayın
    Rütbeler ve genel görevlendirme konuları hakkında bilgi almak için tıklayın
    Uzmanlık alanları hakkında bildirge için tıklayın
    Güncel forum kuralları için tıklayın

“switcher” Trojan

AtaBey

Onursal Üye
Katılım
12 Eki 2016
Mesajlar
693
android-malware-hijacks-router-dns-640x320.jpg

Android kullanıcıları için korkutucu bir malware daha! Güvenlik araştırmacıları cihazlarınızı hedefleyen yeni bir Android malware ortaya çıkardı, ancak bu sefer doğrudan cihaza saldırmak yerine kötü amaçlı yazılım, cihazınızın bağlı olduğu WiFi yönlendiricisini (router, modem) kontrol altına alıyor ve ardından web trafiğini ele geçiriyor.

Kaspersky Lab’daki araştırmacılar tarafından keşfedilen yeni Android malware olan “Switcher“, kablosuz yönlendiricileri kesiyor ve trafiği kötü niyetli web sitelerine yönlendirmek için DNS ayarlarını değiştiriyor.

Proofpoint araştırmacıları, bir hafta kadar önce benzer bir saldırı ile PC’leri hedefleyen bir malware keşfetti ancak hedef makinelere bulaştırmak yerine, Stegano exploit kiti, virüslü aygıtın bağlı olduğu yerel WiFi yönlendiricilerini kontrol ediyor

Switcher, Yönlendiricilere Brute-Force saldırısı gerçekleştirmekte
Hackerlar şu anda Switcher trojanını Çin arama motoru Baidu, Android uygulaması ve kamuya açık ve özel Wi-Fi ağ bilgilerinin paylaşıldığı bir Çin uygulaması ile dağıtıyor (com.snda.wifilocating).

Kurban, bu kötü amaçlı uygulamalardan birini yüklediğinde, Switcher zararlı yazılımı kurbanın Android cihazının bağlı olduğu WiFi yönlendiricisine, yönlendiricinin yönetici web arayüzünde daha önceden tanımlanmış bir sözlük (liste) grubu ile kaba kuvvet saldırısı (kullanıcı adı ve parola) gerçekleştirerek giriş yapmaya çalışıyor.

Kaspersky Lab’ın mobil güvenlik uzmanı Nikita Buchka, bugün yayınlanan bir blog yazısında “JavaScript yardımıyla (Switcher) farklı giriş ve parolalar kombinasyonlarını kullanarak giriş yapmak istiyor” dedi ve ekledi “Giriş kodlarının sabit kodlu isimleriyle ve truva atının erişmeye çalıştığı HTML belgelerinin yapılarıyla bakıldığında, kullanılan JavaScript kodu yalnızca TP-LINK Wi-Fi yönlendiricilerinin web arayüzlerinde çalışıyor”.

traffic-hijacked.png
Router-dns-android-malware

Bir kez erişilen web yönetim arabirimine geçen Switcher, yönlendiricinin birincil ve ikincil DNS sunucularını, saldırganların kontrol ettiği kötü amaçlı DNS sunucularına yönlendiren IP adresleriyle değiştirir.

Araştırmacılar, Switcher’ın birincil DNS kaydı olarak “101.200.147.153”, “112.33.13.11” ve “120.76.249.59” olmak üzere üç farklı IP adresi kullandıklarını, bunlardan birinin Tercih Edilen DNS Sunucusu olarak ayarlandığını, diğerinin ise Diğer DNS Sunucusu olarak ayarlandığını söyledi.

Cihaz, DNS ayarlarındaki değişiklikler nedeniyle, tüm trafik, kurbanın erişmeye çalıştığı meşru site yerine, saldırganların kendi sunucularında barındırılan kötü amaçlı web sitelerine yönlendirilir.

Trojan, tüm kullanıcıları, ister birey, isterse işletme olsun, geniş bir yelpazede, saldırılara yani kimlik avına yönelik saldırılara maruz bırakmayı hedeflemektedir.

Araştırmacılar saldırganın komuta ve kontrol sunucularına erişebildi ve Switcher’ın özellikle Çin’de 1.300 yönlendiricide bulunduğunu ve bu ağlardaki trafiği ele geçirdiğini tespit etti.

Please, Giriş yap or Kayıt ol to view URLs content!
 
Üst