Hlavní navigace

Postřehy z bezpečnosti: trojský kůň Switcher

2. 1. 2017
Doba čtení: 3 minuty

Sdílet

V aktuálním díle Postřehů se podíváme na nový malware pro Android, jehož cílem jsou naše routery, dále na to, jak chytrá zařízení zasahují do vyšetřování trestných činů nebo na falešnou hru Super Mario Run.

Trojský kůň Switcher pro platformu Android je dalším z řady způsobů, kterými se útočníci snaží dostat k vašemu routeru a změnit na něm nastavení DNS. Switcher se maskuje jako mobilní aplikace pro čínský vyhledávač Baidu nebo jako v Číně populární aplikace pro sdílení informací o Wi-Fi sítích. Nástroj je údajně často používaný cestovateli, protože jim umožňuje připojit se k veřejným sítím, ke kterým neznají heslo. Tato skutečnost pak rozšiřuje množství routerů, které mohou být přes jedno zařízení překonfigurovány. Podobná aplikace ostatně existuje i pro Evropu.

Po instalaci nejdříve Switcher zjistí BSSID sítě a pošle ho C&C serveru. Pak zjistí přes jakého ISP je router připojen a podle toho vybere DNS server, který bude na routeru nakonfigurován. Výchozí je 101.200.147.153, pro některé z ISP pak vybere buď IP 112.33.13.11 nebo 120.76.249.59. V dalším kroku se pokusí získat přístup do administrátorského rozhraní routeru pomocí brute force útoku, kde vyzkouší kombinace jako admin/admin, admin/123456 a další. Útok však bude fungovat pouze na TP-LINK Wi-Fi routery. Pokud se změna DNS podaří, ohlásí ještě malware tuto skutečnost C&C serveru. Podobně jako v ostatních případech z dřívějška pak útočník může zařízením připojeným přes napadený router vracet DNS odpovědi, které je místo na zamýšlený server nasměrují na server útočníka.

Naše postřehy

V Americe je řešen případ vraždy, při které se v domácnosti domnělého vraha nalézalo zařízení Amazon Echo. Policie z Arkansasu proto požaduje od Amazonu nahrávky z tohoto zařízení. Nahrané příkazy jsou ukládány na zařízení nebo mohou být nahrány na servery Amazonu. Policii se sice podařilo zabavit samotné zařízení, ale ráda by nyní získala případné další nahrávky, které mohou a nemusí být na serverech Amazonu uloženy. Policie využila i další chytré zařízení v téže domácnosti, měřič spotřeby vody, který zase prozradil, že v noci, kdy došlo k vraždě, bylo mezi jednou a třetí hodinou ranní spotřebováno 529 litrů vody. Žaloba tvrdí, že byla voda použita k úklidu důkazů po samotné vraždě. Amazon zatím nahrávky odmítl vydat.

Po úspěšné aplikaci Pokémon Go je tu další hra od Nintenda, která byla zneužita k šíření malwaru pro Android. Hra Super Mario Run byla zatím oficiálně uvolněna pouze pro iOS. Každý kdo si stáhl apk soubor Super Mario Run pro Android, si tak může být jistý, že si dobrovolně nainstaloval malware. Souborů s různým malwarem je šířeno více, a proto se i nainstalovaný malware projevuje různými způsoby, od zobrazování reklamy až po instalaci dalšího malwaru.

root_podpora

Společnost Imperva zaregistrovala útok o síle 650 Gbps. K tomu mělo dojít již 21. prosince 2016 a směřoval na anycast adresy společnosti. Útok přišel z podvržených IP adres a skládal se ze SYN paketů, kde jedna část těchto paketů měla běžnou velikost a druhá byla několikanásobně větší. Botnet dostal název Leet Botnet podle hlavičky TCP options, kde byly nastaveny hodnoty 1337. Payload větších paketů sestával v některých případech z náhodných znaků, v jiných zase vypadal jako směs útržků IP adres. Analytici Impervy se proto domnívají, že malware, který za útokem stál, získával payload z lokálních souborů uložených na disku. Podle jejich názoru se také nejednalo o Mirai a ani o žádný z jeho klonů.

Ve zkratce

Závěr

Tento seriál vychází za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC. Hezký nový rok všem čtenářům Postřehů!

Byl pro vás článek přínosný?

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.