Nom : Switcher. Nature : cheval de Troie. Terrain de jeu : les terminaux Android. Particularité : exploite les appareils qu’il infecte comme des relais pour s’attaquer aux réseaux Wi-Fi en modifiant les DNS des routeurs.
Kaspersky Lab a mis le doigt sur ce malware dont il existe au moins deux déclinaisons.
La première se cache dans une application mobile d’apparence anodine qui ouvre tout simplement la page d’accueil du moteur de recherche chinois Baidu en version mobile.
La seconde est plus pernicieuse, car dissimulée dans la copie d’une app très utilisée en Chine pour partager des informations sur des réseaux sans fil (typiquement, les mots de passe des hotspots publics).
Une fois installé par l’un ou l’autre moyen, Switcher récupère l’identifiant du Wi-Fi auquel l’appareil Android infecté est connecté. Information qu’il transmet à un serveur de commande et de contrôle (C&C) sur lequel des pirates ont la main.
Deuxième étape : tenter de déterminer le fournisseur d’accès et régler en conséquence le serveur DNS malveillant vers lequel rediriger le trafic (par défaut, 101.200.247.153 ; deux autres adresses peuvent être utilisées : 112.33.13.11 et 120.76.249.59).
Intervient ensuite l’attaque à proprement parler. Switcher récupère l’IP par défaut du routeur*, accède à l’interface d’administration et y teste, sur le principe de la force brute, une vingtaine de mots de passe, systématiquement en association avec l’identifiant « admin ».
Une fois l’authentification réussie, direction le panneau WAN pour changer les DNS. Ceux de Google (8.8.8.8) sont placés en secondaire afin de ne pas éveiller les soupçons si jamais le DNS primaire (celui des pirates) venait à tomber.
À partir de là, on peut imaginer une multitude de scénarios allant du phishing à l’affichage de publicité en passant par la distribution de logiciels malveillants.
Le danger, outre le fait que les IP malveillantes restent en mémoire en cas de redémarrage du routeur, réside dans la tendance de nombreux routeurs à transmettre leurs paramètres DNS aux appareils qui leur sont associés. Ce qui signifie que les pirates peuvent éventuellement contrôler le trafic à l’échelle de tout le réseau.
À s’en fier aux quelques éléments accessibles sur le serveur des pirates, 1 280 réseaux Wi-Fi avaient été infectés au 21 décembre 2016.
* D’après Kaspersky Lab, le code JavaScript sur lequel se fonde le trojan démontre qu’il est conçu pour fonctionner exclusivement avec les routeurs TP-LINK.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…