Los expertos de Kaspersky Lab han descubierto una evolución notable en el malware que ataca al sistema operativo Android: el troyano Switcher.

Este troyano utiliza a los usuarios de dispositivos Android desprevenidos como herramientas para comprometer los ruteadores de las redes Wi-Fi, cambiar la configuración DNS de los mismos y redirigir el tráfico de todos los dispositivos conectados a la red hacia sitios web controlados por los atacantes; dejando así a los usuarios vulnerables a ataques de phishing, malware y adware.

Los atacantes afirman haber infiltrado hasta ahora 1,280 ruteadores inalámbricos con éxito, principalmente en China.

Los servidores de nombres de dominio (DNS por sus siglas en inglés) convierten una dirección web legible como 'x.com' en la dirección numérica IP que se requiere para las comunicaciones entre computadoras.

La habilidad del troyano Switcher para secuestrar este proceso, da a los atacantes un control casi completo sobre la actividad de la red que utiliza el sistema de resolución de nombres, como es el tráfico de Internet.

El método de este ataque funciona porque los ruteadores inalámbricos generalmente manejan sus propios DNS para todos los dispositivos que se conectan a la red, de modo que, si los DNS son maliciosos, todos los usuarios conectados a la red se van a redirigir hacia los sitios Web maliciosos sin consentimiento alguno.

La infección es propagada por usuarios que descargan una de las dos versiones del troyano Android desde un sitio web creado por los atacantes. La primera versión viene disfrazada como un cliente Android del motor de búsqueda chino Baidu, y la otra es una versión falsa bien hecha de una popular aplicación china para compartir información sobre redes Wi-Fi: Wi-Fi 万能 钥匙.

Cuando un dispositivo infectado se conecta a una red inalámbrica, el troyano ataca el router y abre la interfaz de administración web intentando acertar la contraseña, basándose en una larga lista predefinida de combinaciones de contraseñas y de nombres de usuarios.

Si el intento tiene éxito, el troyano suplanta la configuración de los servidores DNS existentes por una dirección maliciosa, controlada por los cibercriminales y también un DNS secundario legítimo, para garantizar que se mantenga la estabilidad en caso de que el DNS malicioso deje de funcionar.

Para ilustrar, lo que normalmente sucede es esto:

Después de un ataque de Switcher exitoso, esto es lo que sucede:

Los atacantes han construido un sitio web para promover y distribuir la aplicación Wi-Fi troyanizada a los usuarios. El servidor web que hospeda este sitio funciona también como un centro de comando y control (C&C, por sus siglas en inglés) de los autores del programa malicioso.

Las estadísticas internas sobre las infecciones producidas que aparecen en una parte abierta de este sitio web, revelan lo que afirman los atacantes: han comprometido 1,280 ruteadores Wi-Fi, potencialmente exponiendo a todos los dispositivos conectados a ellos a nuevos ataques e infecciones.

“Es curioso observar como las mismas técnicas utilizadas hace algún tiempo en Brasil, ahora son recicladas por los criminales cibernéticos, probablemente de la China, para atacar a los usuarios principalmente de ese país. En el pasado, hemos vimos algunas situaciones cuando varias técnicas maliciosas inventadas en la región, fueron adoptadas por los criminales cibernéticos de Europa Oriental. Ahora vemos que los cibercriminales de Asia también están a la mira de las técnicas explotadas con éxito en Latinoamérica y las reciclan para usarlas en sus operaciones”, comentó Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis en Kaspersky Lab.

La compañía recomienda que todos los usuarios comprueben su configuración DNS en los ruteadores Wi-Fi y busquen los siguientes servidores DNS maliciosos:

• 200.147.153
• 33.13.11
• 76.249.59

Si usted tiene uno de estos servidores en su configuración DNS, póngase en contacto con la asistencia técnica de su proveedor de Internet o avísele al propietario de la red Wi-Fi. Kaspersky Lab también recomienda a los usuarios cambiar el nombre y contraseña predeterminados de la interfaz web del administrador de su ruteador para evitar tales ataques en el futuro, además de actualizar el firmware de su dispositivo.

Para obtener más información sobre el troyano Switcher, lea el blogpost en Securelist.