Kaspersky Lab descubrió una evolución notable en el malware que ataca al sistema operativo Android  al que ha llamado como el troyano Switcher. Este troyano utiliza a los usuarios de dispositivos Android desprevenidos como herramientas para comprometer los ruteadores de las redes Wi-Fi, cambiar la configuración DNS de los mismos y redirigir el tráfico de todos los dispositivos conectados a la red hacia sitios web controlados por los atacantes; dejando así a los usuarios vulnerables a ataques de phishing, malware y adware. Los atacantes afirman haber infiltrado hasta ahora 1,280 ruteadores inalámbricos con éxito, principalmente en China.

Los servidores de nombres de dominio convierten una dirección web legible como ‘x.com’ en la dirección numérica IP que se requiere para las comunicaciones entre computadoras. La habilidad del troyano Switcher para secuestrar este proceso, da a los atacantes un control casi completo sobre la actividad de la red que utiliza el sistema de resolución de nombres, como es el tráfico de Internet. El método de este ataque funciona porque los ruteadores inalámbricos generalmente manejan sus propios DNS para todos los dispositivos que se conectan a la red, de modo que si los DNS son maliciosos, todos los usuarios conectados a la red se van a redirigir hacia los sitios Web maliciosos sin  consentimiento alguno.

La infección es propagada por usuarios que descargan una de las dos versiones del troyano Android desde un sitio web creado por los atacantes. La primera versión viene disfrazada como un cliente Android del motor de búsqueda chino Baidu, y la otra es una versión falsa bien hecha de una popular aplicación china para compartir información sobre redes Wi-Fi: Wi-Fi 万能 钥匙.

Cuando un dispositivo infectado se conecta a una red inalámbrica, el troyano ataca el router y  abre la interfaz de administración web intentando  acertar la contraseña, basándose en una larga lista predefinida de combinaciones de contraseñas y de nombres de usuarios. Si el intento tiene éxito, el troyano suplanta la configuración de los servidores DNS existentes por una dirección maliciosa, controlada por los cibercriminales y también un DNS secundario legítimo, para garantizar que se mantenga la estabilidad en caso de que el DNS malicioso deje de funcionar.

Para ilustrar, lo que normalmente sucede es esto:

Después de un ataque de Switcher exitoso, esto es lo que pasa:

Los atacantes han construido un sitio web para promover y distribuir la aplicación Wi-Fi troyanizada a los usuarios. El servidor web que hospeda este sitio funciona también como un centro de comando y control (C&C, por sus siglas en inglés) de los autores del programa malicioso. Las estadísticas internas sobre las infecciones producidas que aparecen en una parte abierta de este sitio web, revelan lo que afirman los atacantes: han comprometido 1,280 ruteadores Wi-Fi, potencialmente exponiendo a todos los dispositivos conectados a ellos a nuevos ataques e infecciones.

Kaspersky recomendó que todos los usuarios comprueben su configuración DNS en los ruteadores Wi-Fi y busquen los siguientes servidores DNS maliciosos:

• 101.200.147.153
• 112.33.13.11
• 120.76.249.59

Si usted tiene uno de estos servidores en su configuración DNS, póngase en contacto con la asistencia técnica de su proveedor de Internet o avísele al propietario de la red Wi-Fi. Esta firma también recomendó a los usuarios cambiar el nombre y contraseña predeterminados de la interfaz web del administrador de su ruteador para evitar tales ataques en el futuro, además de actualizar el firmware de su dispositivo.